ID du bulletin : 2026-041-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 10/06/2026 à 10 h 45 PDT

Description :

AWS CDK (aws-cdk-lib) est un framework open source permettant de définir l’infrastructure cloud sous forme de code et de la mettre en service via AWS CloudFormation. Nous avons identifié CVE-2026-11417, un problème d’injection de commandes du système d’exploitation dans le pipeline d’empaquetage local NodejsFunction d’aws-cdk-lib avant la version 2.245.0 (2.246.0 sous Windows), qui peut permettre à un acteur contrôlant la valeur d’une ou de plusieurs propriétés d’empaquetage (externalModules, define, loader, inject ou esbuildArgs) d’exécuter des commandes arbitraires sur l’hôte exécutant la chaîne d’outils CDK au moyen de métacaractères de shell injectés. Ce problème nécessite que l’acteur contrôle la valeur d’une ou de plusieurs des propriétés d’empaquetage concernées dans l’application CDK.

Versions concernées : < 2.245.0 (sous Windows, < 2.246.0)

Résolution :

Ce problème a été résolu dans la version 2.245.0 d’aws-cdk-lib (2.246.0 sous Windows). Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou forké soit mis à jour afin d’intégrer les nouveaux correctifs.

Solutions de contournement :

Assurez-vous que les valeurs transmises aux propriétés d’empaquetage NodejsFunction proviennent uniquement de sources fiables, et auditez les structures tierces et les pull requests qui les définissent. La mise à niveau vers une version corrigée est la mesure corrective recommandée.

Références :

• CVE-2026-11417
• GHSA-999r-qq7v-r334

Remerciements :

Nous tenons à remercier le chercheur externe Hesham Ashraf qui a collaboré sur ce problème dans le cadre du programme de divulgation des vulnérabilités d’AWS (processus de divulgation coordonnée des vulnérabilités).

Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.