Amazon Redshift JDBC Driverの脆弱性 CVE-2026-8178、接続URLパラメータ経由で任意クラス実行の恐れ

セキュリティニュース

投稿日時: 更新日時:

Amazon Redshift JDBC Driverの脆弱性 CVE-2026-8178、接続URLパラメータ経由で任意クラス実行の恐れ

AWSは2026年5月8日、Amazon Redshift JDBC Driverに存在するリモートコード実行脆弱性CVE-2026-8178を公表しました。

この脆弱性は、Amazon Redshift JDBC Driver 2.2.2未満に影響します。特定の条件下で、JDBC接続URLパラメータを処理する際に任意のクラスを読み込み、実行してしまう可能性があります。攻撃者がJDBC接続URLに影響を与えられる場合、アプリケーションの実行コンテキストでコード実行につながる恐れがあります。

影響範囲

影響を受けるのは、Amazon Redshift JDBC Driver 2.2.2未満です。Mavenパッケージでは、com.amazon.redshift:redshift-jdbc42の2.2.2未満が対象として示されています。

影響を受ける可能性があるのは、JavaアプリケーションからRedshiftへ接続している環境だけではありません。ETL製品、BIツール、社内バッチ、データ連携アプリ、分析基盤のジョブ実行環境などにRedshift JDBC Driverが組み込まれている場合も確認が必要です。