Ba lỗ hổng SQL Injection nghiêm trọng với điểm CVSS 8.0 (CVE-2024-12744, CVE-2024-12745, và CVE-2024-12746) vừa được phát hiện trong các driver Amazon Redshift, bao gồm JDBC Driver (2.1.0.31), Python Connector (2.1.4), và ODBC Driver (2.1.5.0). 

Các lỗ hổng này ảnh hưởng đến một số phiên bản cụ thể: JDBC Driver (phiên bản 2.1.0.31), Python Connector (phiên bản 2.1.4), và ODBC Driver (phiên bản 2.1.5.0). Nguyên nhân chính nằm ở cách các phiên bản này xử lý đầu vào của người dùng trong các lệnh gọi API metadata như getSchemas, getTables, và getColumns.

Kẻ tấn công có thể sử dụng đầu vào độc hại để chèn mã SQL vào các truy vấn gửi đến máy chủ Redshift dẫn đến việc truy cập trái phép, sửa đổi hoặc xóa dữ liệu nhạy cảm. 

Amazon đã phát hành các bản vá: JDBC Driver 2.1.0.32, Python Connector 2.1.5, và ODBC Driver 2.1.6.0, khắc phục bằng cách sử dụng truy vấn tham số hóa để vô hiệu hóa tấn công SQL Injection.

Nếu chưa thể nâng cấp ngay, người dùng có thể tạm thời hạ cấp về các phiên bản an toàn hơn: JDBC Driver 2.1.0.30, Python Connector 2.1.3, và ODBC Driver 2.1.4.0. 

Nguồn: Security Online