Überspringen zum Hauptinhalt

Probleme mit AWS Research and Engineering Studio (RES)

Bulletin-ID: 2026-014-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 06.04.2026, 14.00 Uhr PST

Beschreibung:

Research and Engineering Studio (RES) in AWS ist ein Open-Source-Webportal-Design, über das Administratoren sichere cloudbasierte Forschungs- und Entwicklungsumgebungen erstellen und verwalten können. Wir haben die folgenden Probleme mit AWS Research and Engineering Studio (RES) festgestellt.

CVE-2026-5707: Durch nicht bereinigte Eingaben in einem Betriebssystembefehl bei der Verarbeitung von Namen virtueller Desktopsitzungen in AWS Research and Engineering Studio (RES) der Versionen 2025.03 bis 2025.12.01 könnte ein authentifizierter Remote-Angreifer über einen manipulierten Sitzungsnamen beliebige Befehle als Root auf dem Host des virtuellen Desktops ausführen.

CVE-2026-5708: Eine unzureichende Überprüfung der vom Benutzer änderbaren Attribute in der Sitzungserstellungskomponente in AWS Research and Engineering Studio (RES) vor Version 2026.03 könnte es einem authentifizierten Remote-Benutzer ermöglichen, seine Berechtigungen zu erweitern, die Instance-Profilberechtigungen des Hosts des virtuellen Desktops anzunehmen und über eine manipulierte API-Anfrage mit anderen AWS-Ressourcen und -Services zu interagieren.

CVE-2026-5709: Nicht bereinigte Eingaben in der FileBrowser-API in AWS Research and Engineering Studio (RES) der Versionen 2024.10 bis 2025.12.01 könnten es einem authentifizierten Remote-Angreifer ermöglichen, beliebige Befehle auf der Cluster-Manager-EC2-Instance über manipulierte Eingaben auszuführen, wenn die FileBrowser-Funktionalität verwendet wird.

Betroffene Versionen: <= 2025.12.01

Lösung:

Dieses Problem wurde mit der RES-Version 2026.03 behoben. Wir empfehlen, ein Upgrade auf die neueste Version vorzunehmen und dafür zu sorgen, dass jeder geforkte oder derivative Code gepatcht wird, damit die neuen Fehlerbehebung integriert sind.

Umgehungslösungen
Benutzer können einen Patch auf die bestehende RES-Umgebung anwenden, indem sie die Anweisungen zur Risikominderung [2025.12.01 und früher] Preventing Command Injection via Session Name, [2025.12.01 und früher ] Privilege Escalation via Instance Profile Injection oder [2025.12.01 und früher] Command Injection via FileBrow befolgen.

 

Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.