ID del boletín: 2026-041-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 10/06/2026 10:45 h PDT

Descripción:

AWS CDK (aws-cdk-lib) es un marco de código abierto para definir infraestructura en la nube mediante código y aprovisionarla a través de AWS CloudFormation. Identificamos la CVE-2026-11417, una vulnerabilidad de inyección de comandos del sistema operativo en la canalización de agrupación local de NodejsFunction de aws-cdk-lib anterior a la versión 2.245.0 (2.246.0 en Windows), que podría permitir que un actor que controle el valor de una o más propiedades de agrupación (externalModules, define, loader, inject o esbuildArgs) ejecute comandos arbitrarios en el host que ejecuta la cadena de herramientas de CDK mediante la inyección de metacaracteres de shell. Esta vulnerabilidad requiere que el actor controle el valor de una o más de las propiedades de agrupación afectadas en la aplicación de CDK.

Versiones afectadas: < 2.245.0 (en Windows, < 2.246.0)

Resolución:

Este problema fue abordado en la versión 2.245.0 de aws-cdk-lib (2.246.0 en Windows). Recomendamos actualizar a la versión más reciente y asegurarse de que cualquier código bifurcado o derivado haya sido actualizado para incorporar las nuevas revisiones.

Soluciones alternativas:

Asegúrese de que los valores proporcionados a las propiedades de agrupación de NodejsFunction provengan únicamente de orígenes de confianza y audite los componentes de terceros y las solicitudes de extracción que establezcan dichas propiedades. La remediación recomendada es actualizar a una versión que incorpore la corrección.

Referencias:

• CVE-2026-11417
• GHSA-999r-qq7v-r334

Reconocimiento:

Nos gustaría agradecer al investigador externo Hesham Ashraf, quien colaboró en este problema a través del Programa de divulgación de vulnerabilidades de AWS (proceso coordinado de divulgación de vulnerabilidades).

Si tiene alguna pregunta o inquietud sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.