CVE-2022-41828

Versões do Amazon AWS Redshift JDBC Driver anteriores à 2.1.0.8

A Object Factory no Amazon AWS Redshift JDBC Driver não verifica o tipo de classe ao instanciar um objeto a partir de um nome de classe. Esse problema pode levar a uma possível execução remota de comandos quando plug-ins são usados com o driver. O driver instancia instâncias de plug-ins com base em nomes de classes Java fornecidos por meio das propriedades de conexão sslhostnameverifier, socketFactory, sslfactory e sslpasswordcallback, sem verificar se uma classe de plug-in implementa a interface esperada antes da instanciação. Isso pode permitir que um invasor experiente, com controle sobre a URL JDBC, carregue classes Java arbitrárias e consiga a execução remota de código.

Para resolver o problema, atualize para a versão 2.1.0.8 ou superior do Amazon AWS Redshift JDBC Driver. Não há soluções alternativas conhecidas para este problema, portanto, a atualização para a versão corrigida é a ação recomendada. Se você estiver usando plug-ins com o driver, é especialmente importante atualizar para a versão 2.1.0.8 ou superior para evitar uma possível execução remota de código.