Plygrnd

**Nome do software vulnerável e versões afetadas** Versões do Amazon AWS Redshift JDBC Driver anteriores à 2.1.0.8 **Descrição** A Object Factory no Amazon AWS Redshift JDBC Driver não verifica o tipo de classe ao instanciar um objeto a partir de um nome de classe. Esse problema pode levar a uma possível execução remota de comandos quando plug-ins são usados com o driver. O driver instancia instâncias de plug-ins com base em nomes de classes Java fornecidos por meio das propriedades de conexão `sslhostnameverifier`, `socketFactory`, `sslfactory` e `sslpasswordcallback`, sem verificar se uma classe de plug-in implementa a interface esperada antes da instanciação. Isso pode permitir que um invasor experiente, com controle sobre a URL JDBC, carregue classes Java arbitrárias e consiga a execução remota de código. **Recomendações** Para resolver o problema, atualize para a versão 2.1.0.8 ou superior do Amazon AWS Redshift JDBC Driver. Não há soluções alternativas conhecidas para este problema, portanto, a atualização para a versão corrigida é a ação recomendada. Se você estiver usando plug-ins com o driver, é especialmente importante atualizar para a versão 2.1.0.8 ou superior para evitar uma possível execução remota de código.