公告 ID：2026-024-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 4 月 30 日上午 11:45（太平洋夏令时）
 

描述：

Amazon Elastic Container Service（Amazon ECS）是一项完全托管的容器编排服务，可帮助客户轻松部署、管理和扩展容器化的应用程序。Amazon ECS 代理支持在 Windows EC2 实例的任务定义中挂载适用于 Windows File Server 的 FSx 卷。我们发现了 CVE-2026-7461，这是 FSx 卷挂载中的一个命令注入问题，允许通过 ECS 任务定义中特别构建的凭证以 SYSTEM 权限执行代码。

受影响的版本：适用于 Windows 的 ECS 代理的版本 1.47.0 至 1.102.2

解决方法：

此问题仅影响 ECS Windows Worker 实例。Fargate 上的 ECS 不受影响。此问题已在 ECS 代理版本 1.103.0 中予以解决。我们建议使用更新的 ECS 代理版本升级到最新的 Amazon ECS 优化型 Windows AMI。

临时措施：

无法更新到最新 AMI 的客户可以将 ecs:RegisterTaskDefinition 权限限制为仅限于可信的 IAM 主体，并限制对 FSx 卷配置中引用的 Secrets Manager 密钥的写入权限。

参考：

• CVE-2026-7461
• GHSA-fc67-c4hg-q653

致谢：

我们非常感谢 Sachin Patil 通过协调漏洞披露流程针对这个问题进行的合作。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。