CRITICAL🇬🇧 English

CVE-2026-35561

Niewystarczające zabezpieczenia uwierzytelniania w Amazon Athena ODBC Driver

CVSS 9.1v4.0pub. 2026-04-03upd. 2026-04-14

Amazon Athena ODBC driver w wersjach przed 2.1.0.0 zawiera podatność klasy CWE-862 (Missing Authorization) w komponentach uwierzytelniania przeglądarkowego, umożliwiającą przechwycenie lub przejęcie sesji uwierzytelniania. Ze względu na krytyczny poziom CVSS 9.1 i brak wymagania uwierzytelnienia atakującego, podatność stanowi poważne zagrożenie dla środowisk korzystających z tego sterownika.

Pokaż oryginał (EN)

Insufficient authentication security controls in the browser-based authentication components in Amazon Athena ODBC driver before 2.1.0.0 might allow a threat actor to intercept or hijack authentication sessions due to insufficient protections in the browser-based authentication flows. To remediate this issue, users should upgrade to version 2.1.0.0.

🤖 Analiza AI
Jak działa

Sterownik Amazon Athena ODBC implementuje mechanizm uwierzytelniania oparty na przeglądarce (browser-based authentication flow), który zawiera niewystarczające mechanizmy ochrony sesji. Z powodu braków w kontrolach bezpieczeństwa uwierzytelniania (CWE-862 — brak wymaganych autoryzacji), atakujący sieciowy może dokonać przechwycenia lub przejęcia aktywnej sesji uwierzytelniania. Atak nie wymaga posiadania żadnych poświadczeń ani interakcji ze strony użytkownika, choć wiąże się z pewnymi wymaganiami środowiskowymi (AT:P — wymagane szczególne warunki ataku).

Skutki

Atakujący może przechwycić lub przejąć sesję uwierzytelniania ofiary, uzyskując tym samym nieautoryzowany dostęp do danych i zasobów Amazon Athena z wysokim wpływem na poufność i integralność danych.

Mitygacja

Należy niezwłocznie zaktualizować Amazon Athena ODBC driver do wersji 2.1.0.0 lub nowszej. Paczki instalacyjne dla systemu Linux (RPM), macOS Intel oraz macOS ARM są dostępne pod adresami wskazanymi w biuletynie bezpieczeństwa AWS (2026-013-aws). Szczegółowe informacje o wydaniu dostępne są w oficjalnej dokumentacji sterownika ODBC v2.

Kogo dotyczy

Amazon Athena ODBC driver we wszystkich wersjach przed 2.1.0.0, działający na systemach Linux, Apple macOS (Intel i ARM) oraz Microsoft Windows.

Uwagi

Amazon opublikował dedykowany biuletyn bezpieczeństwa AWS Security Bulletin 2026-013-aws dotyczący tej podatności. Producent jednoznacznie wskazuje wersję 2.1.0.0 jako rozwiązującą problem.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Amazon Athena Odbc

    APP
    Amazon
    < 2.1.0.0
  • Apple macOS

    OS
    Apple
    wszystkie wersje
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2025-31201CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach