Passa al contenuto principale

CVE-2026-11417 - Iniezione di comandi del sistema operativo nel processo di creazione di bundle di NodejsFunction in aws-cdk-lib

ID bollettino: 2026-041-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 10/06/2026 10:45 PDT

Descrizione:

AWS CDK (aws-cdk-lib) è un framework open source per definire l’infrastruttura cloud in codice ed eseguire il provisioning della stessa tramite AWS CloudFormation. Abbiamo identificato la vulnerabilità CVE-2026-11417, un problema relativo all’iniezione di comandi del sistema operativo nella pipeline di creazione di bundle locale NodejsFunction nelle versioni di aws-cdk-lib precedenti alla 2.245.0 (2.246.0 su Windows) che può consentire a un attore che controlla il valore di una o più proprietà di creazione di bundle (externalModules, define, loader, inject o esbuildArgs) di eseguire comandi arbitrari sull’host che esegue la toolchain di CDK tramite metacaratteri shell iniettati. Nell’ambito di questo problema, l’attore deve controllare il valore di una o più proprietà di creazione di bundle interessate nell’applicazione CDK.

Versioni interessate: versioni precedenti alla 2.245.0 (versioni precedenti alla 2.246.0 su Windows)

Risoluzione:

Questo problema è stato risolto nella versione 2.245.0 di aws-cdk-lib (2.246.0 su Windows). Per incorporare le nuove correzioni, consigliamo di eseguire l’aggiornamento alla versione più recente e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.

Soluzioni alternative:

Assicurarsi che i valori passati alle proprietà di creazione di bundle di NodejsFunction provengano solamente da fonti attendibili ed eseguire audit sui costrutti e sulle richieste di pull di terze parti che li impostano. L’aggiornamento a una versione corretta è la soluzione consigliata.

Riferimenti:

Ringraziamenti:

Desideriamo ringraziare il segnalatore esterno Hesham Ashraf che ha collaborato a questo problema tramite il Programma di divulgazione delle vulnerabilità di AWS (processo coordinato di divulgazione delle vulnerabilità).


In caso di domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.