CVE-2026-13760 - aws-cdk-lib 中 NodejsFunction Docker 捆绑的操作系统命令注入
公告 ID:2026-050-AWS
范围:AWS
内容类型:重要提示(需要注意)
发布日期:07/01/2026 12:15 PM PDT
描述:
AWS CDK(aws-cdk-lib)是一个开源框架,使用代码定义云基础设施,并通过 AWS CloudFormation 对其进行预置。我们已发现 CVE-2026-13760,这是 aws-cdk-lib 2.260.0 之前 NodejsFunction Docker 捆绑管线中的操作系统命令注入问题,该问题可能允许控制项目 package.json 文件中依赖项版本字符串的行为者通过 OsCommand 助手中的已注入 Shell 元字符,在运行 CDK 工具链的主机上执行任意命令。此问题要求行为者控制 package.json 依赖关系版本字符串的内容,该字符串在基于 Docker 的捆绑过程中,使用指定的 nodeModules 进行处理。
受影响的版本:< 2.260.0
解决方法:
此问题已在 aws-cdk-lib 版本 2.260.0 中予以解决。建议您升级到最新版本,并确保对任何分叉代码或派生代码进行修补,以纳入新的修复程序。
临时措施:
确保 nodeModules 捆绑选项中列出的模块、在项目 package.json 中针对这些模块声明的版本字符串,以及相应已安装软件包的版本,都仅来自信任的来源。使用本地捆绑而不是基于 Docker 的捆绑可以避免受影响的代码路径。建议的补救措施是升级到固定的版本。
参考:
致谢:
我们非常感谢外部报告者 Mostafa Ashraf 通过 AWS 漏洞披露计划(协调漏洞披露流程)针对这个问题进行的合作。
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。