ID do boletim: 2026-041-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 10/06/2026 10:45 PDT

Descrição:

O AWS CDK (aws-cdk-lib) é um framework de código aberto para definir infraestrutura de nuvem no código e provisioná-la por meio do AWS CloudFormation. Identificamos a vulnerabilidade CVE-2026-11417, uma falha de injeção de comando do SO no pipeline de empacotamento local NodejsFunction em aws-cdk-lib antes da versão 2.245.0 (2.246.0 no Windows) que pode permitir que um usuário que controle o valor de uma ou mais propriedades de empacotamento (externalModules, define, loader, inject ou esbuildArgs) execute comandos arbitrários no host que executa a cadeia de ferramentas CDK por meio de metacaracteres de shell injetados. Esse problema exige que o usuário controle o valor de uma ou mais das propriedades de empacotamento afetadas na aplicação CDK.

Versões afetadas: < 2.245.0 (no Windows, < 2.246.0)

Resolução:

Esse problema foi resolvido na versão 2.245.0 de aws-cdk-lib (2.246.0 no Windows). Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Soluções alternativas:

Certifique-se de que os valores passados às propriedades de empacotamento de NodejsFunction provenham apenas de fontes confiáveis e audite as construções de terceiros e as solicitações pull que os definem. A atualização para uma versão fixa é a correção recomendada.

Referências:

• CVE-2026-11417
• GHSA-999r-qq7v-r334

Agradecimento:

Gostaríamos de agradecer ao denunciante externo Hesham Ashraf, que colaborou nesta edição por meio do Programa de Divulgação de Vulnerabilidades da AWS (processo coordenado de divulgação de vulnerabilidades).

Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação sobre segurança.