ID bollettino: 2026-039-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 05/06/2026 12:15 PDT

Descrizione:

Amazon Aurora PostgreSQL è un motore di database relazionale completamente gestito compatibile con PostgreSQL.

Abbiamo identificato CVE-2026-11400(JDBC) e CVE-2026-11401(Go), un problema nei wrapper AWS per Amazon Aurora PostgreSQL che consentirà l’escalation dei privilegi al ruolo rds_superuser. Un utente autenticato con privilegi limitati può creare una funzione predisposta che potrebbe essere eseguita con le autorizzazioni di altri utenti di Amazon Relational Database Service (RDS).

Versioni interessate:

• AWS Advanced JDBC Wrapper: versione 3.0.0 e successive e versione 4.0.1 e precedenti
• AWS Advanced Go Wrapper versione del 06/04/2020

Risoluzione:

questo problema è stato risolto nella versione 4.0.1 di AWS Advanced JDBC Wrapper e nella versione del 26-05-2026 di AWS Advanced Go Wrapper. Per incorporare le nuove correzioni, consigliamo di eseguire l’aggiornamento alla versione più recente e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.

Soluzioni alternative:

• rimuovi lo schema pubblico dal percorso di ricerca.

Riferimenti:

• CVE-2026-11400
• CVE-2026-11401
• AWS Advanced JDBC Wrapper: GHSA-mhww-p97m-3368
• AWS Advanced Go Wrapper: GHSA-r236-5pc3-3qcp

In caso di domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.

.