公告 ID：2026-038-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 6 月 2 日下午 12:15（太平洋夏令时）

描述：

Graph Explorer 是一款开源应用程序，可对图形数据库（例如 Amazon Neptune）中的数据进行可视化和浏览。我们发现了 CVE-2026-10584 漏洞，在某些情况下，当启用 HTTPS 但证书不可用时，服务器会回退到 HTTP，但不给出提示，从而导致敏感信息以明文形式传输。

受影响的版本：>= 1.1.0 和 < 3.0.1

解决方法：

此问题已在 Graph Explorer 版本 3.0.1 中予以解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

如果您无法立即升级，请采取以下措施：

• 通过在浏览器中或通过 curl 检查协议，验证您的部署实际上是通过 HTTPS 提供的
• 确保在 docker run 命令中设置了 HOST，以便正确生成证书
• 依赖自动生成自签名证书时，避免使用非默认配置目录路径

参考：

• CVE-2026-10584
• GHSA-r6vr-4rxc-x6q4

致谢：

我们非常感谢 Eduardo Caro 通过协调漏洞披露流程针对这个问题进行的合作。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。