速報 ID: 2026-038-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 6 月 2 日 午後 12 時 15 分 (PDT)

説明:

Graph Explorer は、Amazon Neptune などのグラフデータベース内のデータを視覚化および探索できるオープンソースアプリケーションです。AWS では CVE-2026-10584 を特定しました。この問題では、特定の状況下において、HTTPS が有効になっていても証明書が利用できない場合、サーバーがサイレントで HTTP にフォールバックし、機密情報がクリアテキストで送信されます。

影響を受けるバージョン: >= 1.1.0 および < 3.0.1

解決方法:

この問題は、Graph Explorer のバージョン 3.0.1 で解決されました。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

すぐにアップグレードできない場合は、次の処置を行ってください。

• ブラウザまたは curl でプロトコルをチェックして、デプロイが実際に HTTPS を介して提供されていることを確認する
• 証明書が正しく生成されるように HOST が docker run コマンドで設定されていることを確認する
• 自己署名証明書の自動生成を使用する場合は、デフォルト以外の設定ディレクトリパスを使用することを避ける

参考情報:

• CVE-2026-10584
• GHSA-r6vr-4rxc-x6q4

謝辞:

協調的脆弱性開示プロセスを通じてこの問題に協力してくださった Eduardo Caro 氏に感謝いたします。

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。