公告 ID：2026-011-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 3 月 31 日上午 10:15（太平洋标准时间）

描述：

几个 AWS SDK 使用 AWS 通用运行时库与事件流服务（例如Kinesis、Transcribe）通信。我们发现了 CVE‑2026‑5190 漏洞。0.6.0 版本之前的 AWS 通用运行时事件流解码器组件存在漏洞：允许运行服务器的第三方构造恶意事件流消息，导致内存损坏，进而在处理该消息的客户端应用程序上执行任意代码。

受影响的版本：

• aws-c-event-stream 0.6.0 以下版本，以及公开了事件流功能的以下更高层级库
• aws-iot-device-sdk-cpp-v2 < 1.42.1
• aws-iot-device-sdk-java-v2 < 1.30.1
• aws-iot-device-sdk-python-v2 < 1.28.2
• aws-iot-device-sdk-js-v2 < 1.25.1
• aws-sdk-swift < 1.6.70
• aws-sdk-cpp < 1.11.764

解决方法：

此问题已在 aws-c-event-stream 版本 0.6.0、aws-iot-device-sdk-cpp-v2 版本 1.42.1、aws-iot-device-sdk-java-v2 版本 1.30.1、aws-iot-device-sdk-python-v2 版本 1.28.2、aws-iot-device-sdk-js-v2 版本 1.25.1、aws-sdk-swift 1.6.70 以及 aws-sdk-cpp 版本 1.11.764 中得到解决。

建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

只有当客户端使用事件流协议与运行服务器的第三方进行通信时，才会出现此问题。为避免此问题，请确保与之通信的服务器是可信服务器。AWS 服务器不会触发此问题。

参考：

• CVE-2026-5190
• GHSA-xvjw-fjq5-68hf

我们要感谢 1seal.org 通过协调漏洞披露流程就此问题提供的合作。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。