ID do boletim: 2026-039-AWS
Escopo: AWS
Tipo de conteúdo: importante (requer atenção)
Data da publicação: 05/06/2026 12:15 PDT

Descrição:

O Amazon Aurora PostgreSQL é um banco de dados relacional totalmente gerenciado e compatível com o PostgreSQL.

Identificamos a vulnerabilidade CVE-2026-11400 (JDBC) e CVE-2026-11401 (Go), uma vulnerabilidade no AWS Wrappers para Amazon Aurora PostgreSQL que permite a escalada de privilégios para o perfil rds_superuser. Um usuário autenticado com privilégios baixos pode criar uma função personalizada que pode ser executada com as permissões de outros usuários do Amazon Relational Database Service (RDS).

Versões afetadas:

• AWS Advanced JDBC Wrapper >=3.0.0 e < 4.0.1
• AWS Advanced Go Wrapper versão 2026-04-06

Resolução:

Este problema foi resolvido na versão 4.0.1 do AWS Advanced JDBC Wrapper e na versão 2026-05-26 do AWS Advanced Go Wrapper. Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Soluções alternativas:

• Remova o esquema público do caminho de pesquisa.

Referências:

• CVE-2026-11400
• CVE-2026-11401
• AWS Advanced JDBC Wrapper: GHSA-mhww-p97m-3368
• AWS Advanced Go Wrapper: GHSA-r236-5pc3-3qcp

Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação sobre segurança.

.