公告 ID：2026-014-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 4 月 6 日下午 2:00（太平洋标准时间）

描述：

Research and Engineering Studio on AWS（RES）是一个 Web 门户，可供管理员创建和管理安全的、基于云的研究与工程环境。我们在 AWS Research and Engineering Studio（RES）中发现了以下问题。

CVE-2026-5707：在 AWS Research and Engineering Studio（RES）版本 2025.03 至 2025.12.01 的虚拟桌面会话名称处理中，操作系统命令中的未净化输入可能会允许经过身份验证的远程攻击者通过精心构造的会话名称，在虚拟桌面主机上以 root 用户身份执行任意命令。

CVE-2026-5708：在版本 2026.03 之前的 AWS Research and Engineering Studio（RES）会话创建组件中，如果对用户可修改的属性控制不当，可能会允许经过身份验证的远程用户提升权限，获得虚拟桌面主机实例配置文件权限，并通过精心构造的 API 请求与其他 AWS 资源和服务进行交互。

CVE-2026-5709：使用 FileBrowser 功能时，在 AWS Research and Engineering Studio（RES）版本 2024.10 至 2025.12.01 中，FileBrowser API 中的未净化输入可能会允许经过身份验证的远程攻击者通过精心构造的输入，在集群管理器 EC2 实例上执行任意命令。

受影响的版本：<= 2025.12.01

解决方法：

此问题已在 RES 版本 2026.03 中得到解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施
用户可以按照下属缓解说明，为现有 RES 环境应用补丁：[2025.12.01 及更早版本] 防止通过会话名称注入命令、[2025.12.01 及更早版本] 通过实例配置文件注入进行权限升级，或 [2025.12.01 及更早版本] 通过 FileBrow 注入命令。

 

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。