公告 ID：2026-020-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 4 月 27 日下午 1:15（太平洋夏令时）
 

描述：

AWS 云端 QnABot 是一种开源解决方案，提供由 Amazon Lex、Amazon OpenSearch Service 以及可选的 Amazon Bedrock 提供支持的多渠道、多语言对话界面。

我们发现了 CVE-2026-7191，其中，不当使用静态评估的 npm 包可能允许经过身份验证的管理员在履行 Lambda 执行上下文中执行任意代码。通过内容设计器界面注入有意设计的条件链表达式，具有管理员访问权限的参与者可以通过 JavaScript 原型操作绕过预期的表达式沙盒。成功利用该漏洞可能会授予对后端资源的直接访问权限，包括 Lambda 环境变量、OpenSearch 索引、S3 对象和 DynamoDB 表，这些资源不会通过普通管理接口公开。

受影响的版本：<=7.2.4

解决方法：

此问题已在 AWS 云端 QnABot 版本 7.3.0 中予以解决。静态评估依赖关系已被移除，取而代之的是有限的自定义表达式评估器。建议您升级到 v7.2.4 以上的版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

此问题没有临时措施。升级到 7.3.0 或更高版本。

参考：

• CVE-2026-7191
• GHSA-h47x-8hgm-m83h

致谢：

我们非常感谢 Endor Labs 负责任地向 AWS 披露了此问题。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。