Vulnerabilidad en Amazon JDBC para Redshift (CVE-2024-32888)

El controlador Amazon JDBC para Redshift es un controlador JDBC de tipo 4 que proporciona conectividad de bases de datos a través de las interfaces de programas de aplicación (API) JDBC estándar disponibles en Java Platform, Enterprise Editions. Antes de la versión 2.1.0.28, la inyección SQL es posible cuando se usa la propiedad de conexión no predeterminada `preferQueryMode=simple` en combinación con código de aplicación que tiene un SQL vulnerable que niega el valor de un parámetro. No hay vulnerabilidad en el controlador cuando se utiliza el modo de consulta extendido predeterminado. Tenga en cuenta que `preferQueryMode` no es un parámetro admitido en el controlador JDBC de Redshift y es un código heredado del controlador JDBC de Postgres. Los usuarios que no anulen la configuración predeterminada para utilizar este modo de consulta no compatible no se verán afectados. Este problema se solucionó en la versión del controlador 2.1.0.28. Como workaround, no utilice la propiedad de conexión `preferQueryMode=simple`. (NOTA: Aquellos que no especifican explícitamente un modo de consulta utilizan el modo de consulta extendido predeterminado y no se ven afectados por este problema).