ID bollettino: 2026-038-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 02/06/2026 12:15 PDT

Descrizione:

Graph Explorer è un’applicazione open source che consente di visualizzare ed esplorare i dati nei database a grafo, come Amazon Neptune. Abbiamo identificato CVE-2026-10584 in cui, in determinate circostanze, il server ritorna silenziosamente a HTTP quando HTTPS è abilitato ma i certificati non sono disponibili, con conseguente trasmissione in chiaro di informazioni sensibili.

Versioni interessate: 1.1.0 e successive E versioni precedenti alla 3.0.1

Risoluzione:

questo problema è stato risolto nella versione 3.0.1 di Graph Explorer. Per incorporare le nuove correzioni, consigliamo di eseguire l’aggiornamento alla versione più recente e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.

Soluzioni alternative:

se non riesci a eseguire l’aggiornamento immediatamente, esegui le seguenti azioni:

• Verifica che la distribuzione operi effettivamente su HTTPS controllando il protocollo nel browser o tramite curl.
• Assicurati che HOST sia impostato nel comando di esecuzione di docker in modo che i certificati vengano generati correttamente.
• Evita di usare percorsi di directory di configurazione non predefiniti quando ti affidi alla generazione automatica di certificati autofirmati.

Riferimenti:

• CVE-2026-10584
• GHSA-r6vr-4rxc-x6q4

Ringraziamenti:

si ringrazia Eduardo Caro per la collaborazione su questa segnalazione nell’ambito del processo di divulgazione coordinata delle vulnerabilità.

In caso di domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.