CRITICAL🇬🇧 English

CVE-2026-35560

Nieprawidłowa walidacja certyfikatów w Amazon Athena ODBC Driver — atak MITM

CVSS 9.1v4.0pub. 2026-04-03upd. 2026-04-14

Sterownik Amazon Athena ODBC przed wersją 2.1.0.0 nieprawidłowo waliduje certyfikaty podczas łączenia z zewnętrznymi dostawcami tożsamości (identity providers), co może umożliwić atakującemu przeprowadzenie ataku man-in-the-middle. Podatność jest krytyczna, ponieważ może prowadzić do przechwycenia poświadczeń uwierzytelniających.

Pokaż oryginał (EN)

Improper certificate validation in the identity provider connection components in Amazon Athena ODBC driver before 2.1.0.0 might allow a man-in-the-middle threat actor to intercept authentication credentials due to insufficient default transport security when connecting to identity providers. This only applies to connections with external identity providers and does not apply to connections with Athena. To remediate this issue, users should upgrade to version 2.1.0.0.

🤖 Analiza AI
Jak działa

Błąd wynika z niewystarczającego domyślnego zabezpieczenia transportu (CWE-295 — improper certificate validation) w komponentach odpowiedzialnych za połączenie z dostawcami tożsamości. Atakujący znajdujący się na ścieżce komunikacji sieciowej (man-in-the-middle) może podszyć się pod prawidłowy serwer identity provider, ponieważ sterownik nie weryfikuje poprawnie certyfikatu TLS serwera. W efekcie możliwe jest przechwycenie przesyłanych poświadczeń uwierzytelniających. Podatność dotyczy wyłącznie połączeń z zewnętrznymi dostawcami tożsamości — połączenia bezpośrednio z Amazon Athena nie są narażone.

Skutki

Atakujący może przechwycić poświadczenia uwierzytelniające użytkowników (np. tokeny, hasła) przesyłane do zewnętrznych dostawców tożsamości, co może prowadzić do nieautoryzowanego dostępu do zasobów chronionych tymi poświadczeniami.

Mitygacja

Należy zaktualizować sterownik Amazon Athena ODBC do wersji 2.1.0.0 lub nowszej. Paczki instalacyjne dla systemów Linux, macOS (Intel i ARM) oraz Windows są dostępne w referencjach producenta (AWS Security Bulletin 2026-013).

Kogo dotyczy

Amazon Athena ODBC Driver w wersjach przed 2.1.0.0 na platformach Linux, macOS (Intel i ARM) oraz Microsoft Windows — wyłącznie w konfiguracjach korzystających z zewnętrznych dostawców tożsamości (identity providers).

Uwagi

Podatność dotyczy wyłącznie połączeń z zewnętrznymi dostawcami tożsamości (np. SSO/SAML/OIDC). Połączenia bezpośrednie z Amazon Athena nie są narażone — co producent explicite potwierdza w opisie.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Amazon Athena Odbc

    APP
    Amazon
    < 2.1.0.0
  • Apple macOS

    OS
    Apple
    wszystkie wersje
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2025-31201CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach