公告 ID：2026-041-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 6 月 10 日上午 10:45（太平洋夏令时）

描述：

AWS CDK（aws-cdk-lib）是一个开源框架，使用代码定义云基础设施，并通过 AWS CloudFormation 对其进行预置。我们发现了 CVE-2026-11417 漏洞，这是 2.245.0 之前版本（在 Windows 上为 2.246.0）的 aws-cdk-lib 中，NodejsFunction 本地捆绑管线中的一个操作系统命令注入问题，可能允许控制一个或多个捆绑属性（externalModules、define、loader、inject 或 esbuildArgs）值的参与者，通过注入的 Shell 元字符在运行 CDK 工具链的主机上执行任意命令。此问题要求参与者控制 CDK 应用程序中一个或多个受影响的捆绑属性的值。

受影响的版本：< 2.245.0（在 Windows 上，< 2.246.0）

解决方法：

此问题已在 aws-cdk-lib 版本 2.245.0（Windows 上为 2.246.0）中予以解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

确保传递给 NodejsFunction 捆绑属性的值仅来自可信来源，并审计设置这些属性的第三方构造和拉取请求。建议的补救措施是升级到固定版本。

参考：

• CVE-2026-11417
• GHSA-999r-qq7v-r334

致谢：

我们非常感谢外部报告者 Hesham Ashraf 通过 AWS 漏洞披露计划（协调漏洞披露流程）针对这个问题进行的合作。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。