Bulletin-ID: 2026-041-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 10.06.2026, 10.45 Uhr PDT

Beschreibung:

AWS CDK (aws-cdk-lib) ist ein Open-Source-Framework für die Definition von Cloud-Infrastruktur in Code und deren Bereitstellung über AWS CloudFormation. Wir haben eine Schwachstelle (CVE-2026-11417) festgestellt, bei der es sich um eine OS Command Injection in der lokalen Bundling-Pipeline von NodejsFunction in aws-cdk-lib vor Version 2.245.0 (2.246.0 unter Windows) handelt, die es einem Akteur, der den Wert einer oder mehrerer Bundling-Eigenschaften (externalModules, define, loader, inject oder esbuildArgs) kontrolliert, ermöglichen kann, über injizierte Shell-Metazeichen beliebige Befehle auf dem Host auszuführen, der die CDK-Toolchain ausführt. Dieses Problem setzt voraus, dass ein Akteur den Wert einer oder mehrerer betroffener Bundling-Eigenschaften in der CDK-Anwendung kontrolliert.

Betroffene Versionen: < 2.245.0 (unter Windows, < 2.246.0)

Lösung:

Dieses Problem wurde in der aws-cdk-lib-Version 2.245.0 (2.246.0 unter Windows) behoben. Sie sollten ein Upgrade auf die neueste Version vornehmen und dafür sorgen, dass geforkter oder derivativer Code gepatcht wird, damit die neuen Korrekturen enthalten sind.

Problemumgehungen:

Stellen Sie sicher, dass die an die NodejsFunction-Bundling-Eigenschaften übergebenen Werte nur aus vertrauenswürdigen Quellen stammen, und prüfen Sie Drittanbieter-Konstrukte sowie Pull Requests, die diese Werte festlegen. Ein Upgrade auf eine feste Version ist die empfohlene Abhilfe.

Referenzen:

• CVE-2026-11417
• GHSA-999r-qq7v-r334

Danksagung:

Wir möchten dem externen Hinweisgeber Hesham Ashraf danken, der im Rahmen des AWS Vulnerability Disclosure Program (koordinierter Prozess zur Offenlegung von Schwachstellen) an diesem Thema mitgewirkt hat.

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.