ID du bulletin : 2026-028-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 08/05/2026 à 11 h 45 (heure du Pacifique)
 

Description :

Le pilote JDBC Amazon Redshift est un pilote JDBC de type 4 qui fournit une connectivité à la base de données via les interfaces de programmation d’application (API) JDBC standard. Nous avons identifié un problème dans les versions du pilote JDBC Amazon Redshift antérieures à la version 2.2.2. Dans certaines conditions, le pilote pourrait charger et exécuter des classes arbitraires lors du traitement des paramètres d’URL de connexion JDBC. Un acteur en mesure d’influencer l’URL de connexion pourrait potentiellement exécuter du code dans le contexte de l’application.

Versions concernées : pilote JDBC Amazon Redshift < 2.2.2

Résolution :

Ce problème a été résolu dans la version 2.2.2 du pilote JDBC Amazon Redshift. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou forké soit mis à jour afin d’intégrer les nouveaux correctifs.

Références :

• CVE-2026-8178
• GHSA-wmmv-vvg5-993q

Remerciements :

Nous tenons à remercier Fushuling pour sa collaboration sur cette question dans le cadre du processus coordonné de divulgation des problèmes.

Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.