この日はAWSセキュリティ速報が1件公開されました。Amazon Aurora PostgreSQL向けの各種AWSラッパー(JDBC、Go、Node.js、Pythonの各WrapperおよびPGSQL ODBCドライバー)における権限昇格の脆弱性(CVE-2025-12967)です。低権限の認証済みユーザーが細工した関数を作成し、他のRDSユーザーの権限で実行させることで、rds_superuserロールへの権限昇格につながる可能性があると報告されています。影響を受けるのはJDBC Wrapper 2.6.5未満、Go Wrapper(2025-10-17より前)、Node.js Wrapper 2.0.1未満、Python Wrapper 1.4.0未満、ODBCドライバー 1.0.1未満です。
Aurora PostgreSQL向けAWSラッパー群の権限昇格脆弱性 (CVE-2025-12967)
Bulletin ID: AWS-2025-028
Scope: AWS
Content Type: Important (requires attention)
Publication Date: 2025/11/10 10:15 AM PDT
Description:
Amazon Aurora PostgreSQL a fully managed relational database engine that's compatible with PostgreSQL.
We identified CVE-2025-12967, an issue in AWS Wrappers for Amazon Aurora PostgreSQL may allow for privilege escalation to rds_superuser role. A low privilege authenticated user can create a crafted function that could be executed with permissions of other Amazon Relational Database Service (RDS) users.
Impacted versions:
- AWS JDBC Wrapper <2.6.5
- AWS Go Wrapper <2025-10-17
- AWS NodeJS Wrapper <2.0.1
- AWS Python Wrapper <1.4.0
- AWS ODBC driver <1.0.1