공지 ID: 2026-038-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 6월 2일 오후 12시 15분(PDT)

설명:

Graph Explorer는 Amazon Neptune과 같은 그래프 데이터베이스의 데이터를 시각화하고 탐색할 수 있는 오픈 소스 애플리케이션입니다. 특정 상황에서 HTTPS가 활성화되었지만 인증서를 사용할 수 없을 때 서버가 알림 없이 HTTP로 폴백되어 민감한 정보가 평문으로 전송되는 CVE-2026-10584 문제를 확인했습니다.

영향을 받는 버전: 1.1.0 버전 이상 및 3.0.1 버전 미만

해결 방법:

이 문제는 Graph Explorer 버전 3.0.1에서 해결되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.

대안:

즉시 업그레이드할 수 없는 경우 다음 조치를 취하세요.

• 브라우저에서 프로토콜을 확인하거나 curl을 통해 배포가 실제로 HTTPS를 통해 제공되는지 확인합니다.
• docker run 명령에 HOST가 설정되어 인증서가 올바르게 생성되는지 확인합니다.
• 자동 자체 서명 인증서 생성을 사용하는 경우 기본이 아닌 구성 디렉토리 경로를 사용하지 않습니다.

참고 사항:

• CVE-2026-10584
• GHSA-r6vr-4rxc-x6q4

도움을 주신 분:

조정된 취약성 공개 프로세스를 통해 이 문제 해결에 도움을 준 Eduardo Caro에 감사드립니다.

보안 관련 질문이나 우려 사항이 있는 경우 이메일 aws-security@amazon.com을 통해 문의하세요.