公告 ID：AWS-2025-031
范围： AWS
内容类型： 信息性
发布日期：2025 年 12 月 15 日上午 11:45（太平洋标准时间）

描述：

Harmonix on AWS 是一个开源参考架构，也是开发者平台的实现，该实现扩展了 CNCF 后台项目。我们发现，在 CVE-2025-14503 中，Harmonix on AWS 框架中过度宽松的 IAM 信任策略可能允许经过身份验证的用户通过角色代入提升权限。EKS 环境预置角色的示例代码配置为信任账户根主体，这可以让任何拥有 sts:AssumeRole 权限的账户主体以管理权限代入该角色。

受影响的版本：v0.3.0 到 v0.4.1

解决方法：

此问题已在 Harmonix on AWS 版本 0.4.2 中得到解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

如果您无法立即升级到 0.4.2 或更高版本，我们建议您审核并限制 Harmonix on AWS 部署中的 IAM 信任策略，尤其要关注 EKS 环境预置角色，确保其不信任账户根主体。示例代码中的预置角色可以在 IAM 控制台中找到，其名称模式如下：

    *-eks-*-provisioning-role

可以审核并监控 CloudTrail 事件中是否有“AssumeRole”事件名称，其中 requestParameters.roleArn 字段包含预置角色的 ARN

参考：

• Harmonix on AWS 版本 0.4.2
• CVE-2025-14503
• GHSA-qm86-gqrq-mqcw

致谢：

感谢 Security 研究人员 r00tdaddy 通过协调漏洞披露流程就此问题与我们协作。
 

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。