Bulletin-ID: 2026-038-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 02.06.2026, 12.15 Uhr PDT

Beschreibung:

Bei Graph Explorer handelt es sich um eine Open-Source-Anwendung, die die Visualisierung und Untersuchung von Daten in Graphdatenbanken wie etwa Amazon Neptune ermöglicht. Wir haben die Schwachstelle CVE-2026-10584 identifiziert. Dabei fällt der Server unter bestimmten Umständen im Hintergrund auf HTTP zurück, wenn HTTPS aktiviert ist, aber keine Zertifikate verfügbar sind. Das führt zur Übertragung sensibler Informationen in Klartext.

Betroffene Versionen: >= 1.1.0 und < 3.0.1

Lösung:

Dieses Problem wurde in der Version 3.0.1 von Graph Explorer behoben. Sie sollten ein Upgrade auf die neueste Version vornehmen und dafür sorgen, dass geforkter oder derivativer Code gepatcht wird, damit die neuen Korrekturen enthalten sind.

Problemumgehungen:

Falls kein sofortiges Upgrade möglich ist, ergreifen Sie bitte die folgenden Maßnahmen:

• Vergewissern Sie sich, dass die Bereitstellung von Inhalten tatsächlich über HTTPS erfolgt, indem Sie das Protokoll im Browser oder über curl prüfen.
• Stellen Sie sicher, dass im Docker-Run-Befehl HOST eingestellt ist, damit die Zertifikate korrekt generiert werden.
• Verzichten Sie auf nicht standardmäßige Pfade für Konfigurationsverzeichnisse, wenn Sie die automatische Generierung selbstsignierter Zertifikate nutzen.

Referenzen:

• CVE-2026-10584
• GHSA-r6vr-4rxc-x6q4

Danksagung:

Wir möchten Eduardo Caro für die Zusammenarbeit bei der Problemlösung im Rahmen des koordinierten Prozesses zur Offenlegung von Schwachstellen danken.

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.