Amazon Athena ODBC driver w wersjach przed 2.1.0.0 zawiera podatność klasy CWE-862 (Missing Authorization) w komponentach uwierzytelniania przeglądarkowego, umożliwiającą przechwycenie lub przejęcie sesji uwierzytelniania. Ze względu na krytyczny poziom CVSS 9.1 i brak wymagania uwierzytelnienia atakującego, podatność stanowi poważne zagrożenie dla środowisk korzystających z tego sterownika.
▸ Pokaż oryginał (EN)
Insufficient authentication security controls in the browser-based authentication components in Amazon Athena ODBC driver before 2.1.0.0 might allow a threat actor to intercept or hijack authentication sessions due to insufficient protections in the browser-based authentication flows. To remediate this issue, users should upgrade to version 2.1.0.0.
Sterownik Amazon Athena ODBC implementuje mechanizm uwierzytelniania oparty na przeglądarce (browser-based authentication flow), który zawiera niewystarczające mechanizmy ochrony sesji. Z powodu braków w kontrolach bezpieczeństwa uwierzytelniania (CWE-862 — brak wymaganych autoryzacji), atakujący sieciowy może dokonać przechwycenia lub przejęcia aktywnej sesji uwierzytelniania. Atak nie wymaga posiadania żadnych poświadczeń ani interakcji ze strony użytkownika, choć wiąże się z pewnymi wymaganiami środowiskowymi (AT:P — wymagane szczególne warunki ataku).
Atakujący może przechwycić lub przejąć sesję uwierzytelniania ofiary, uzyskując tym samym nieautoryzowany dostęp do danych i zasobów Amazon Athena z wysokim wpływem na poufność i integralność danych.
Należy niezwłocznie zaktualizować Amazon Athena ODBC driver do wersji 2.1.0.0 lub nowszej. Paczki instalacyjne dla systemu Linux (RPM), macOS Intel oraz macOS ARM są dostępne pod adresami wskazanymi w biuletynie bezpieczeństwa AWS (2026-013-aws). Szczegółowe informacje o wydaniu dostępne są w oficjalnej dokumentacji sterownika ODBC v2.
Amazon Athena ODBC driver we wszystkich wersjach przed 2.1.0.0, działający na systemach Linux, Apple macOS (Intel i ARM) oraz Microsoft Windows.
Amazon opublikował dedykowany biuletyn bezpieczeństwa AWS Security Bulletin 2026-013-aws dotyczący tej podatności. Producent jednoznacznie wskazuje wersję 2.1.0.0 jako rozwiązującą problem.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAmazon Athena Odbc
APPAmazon< 2.1.0.0Apple macOS
OSApplewszystkie wersjeLinux Kernel
OSLinuxwszystkie wersjeMicrosoft Windows
OSMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach