注目github_advisory1分
CVE-2026-11401: AWS Go Wrapper の Aurora PostgreSQL 権限昇格の脆弱性
30秒で把握
- 1CVE-2026-11401: AWS Go Wrapper で rds_superuser への権限昇格が可能
- 2影響バージョンは 2026-04-06 版・2026-05-26 版で修正済み
- 3即時アップグレード推奨・回避策は public スキーマを search_path から除外
要約
AWS Advanced Go Wrapper を使用した Aurora PostgreSQL 環境で、権限昇格の脆弱性 CVE-2026-11401 が確認された。低権限の認証済みユーザーが細工した関数を作成することで、他の RDS ユーザーの権限で実行し、rds_superuser ロールへの権限昇格が可能になる。影響を受けるバージョンは 2026-04-06 版の AWS Go Wrapper で、2026-05-26 版で修正が適用された。
あなたへの影響
Aurora PostgreSQL に AWS Go Wrapper 経由でアクセスしているチームは、直ちに 2026-05-26 版へのアップグレードを実施し、フォーク・派生コードへのパッチ適用も確認すること。
推奨:即時アップグレードが困難な場合は、search_path から public スキーマを削除する回避策を暫定的に適用すべき。