公告 ID：2026-018-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 4 月 24 日上午 9:15（太平洋夏令时）
 

描述：

AWS Ops Wheel 是一款开源工具，可帮助团队使用虚拟旋转轮进行随机选择，该旋转轮通过 CloudFormation 部署到客户 AWS 账户中。

CVE-2026-6911 涉及在 v2 API 中未强制执行 JWT 令牌签名验证的问题。这可能允许对 API Gateway 端点具有网络访问权限但未经身份验证的参与者制作令牌，并获得对应用程序的意外管理访问权限，包括读取、修改和删除租户之间的所有应用程序数据以及在部署的用户池中管理 Cognito 用户账户。

CVE-2026-6912 涉及 v2 Cognito 用户池配置中的一个问题，即属性写入权限的限制不足。这可能允许经过身份验证的用户修改自己的权限属性并在应用程序内获得更高的访问权限，包括管理 Cognito 用户账户的能力。

受影响的版本：

• AWS Ops Wheel v2 部署 PR #163 及之前版本

解决方法：

CVE-2026-6911 已在 PR #164 中予以解决，CVE-2026-6912 已在 PR #165 中予以解决。用户应从最新版本重新部署，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

无法立即重新部署的客户可以使用 AWS WAF 或 VPC 配置限制对其 API Gateway 端点的网络访问以限制访问权限。

参考：

• CVE-2026-6911
• CVE-2026-6912
• GHSA-v5vr-8w3c-37x2
• GHSA-qvfh-9cjw-8wwq

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。