Überspringen zum Hauptinhalt

Problem mit AWS Ops Wheel (CVE-2026-6911 und CVE-2026-6912

Bulletin-ID: 2026-018-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 24.04.2026, 9.15 Uhr PDT
 

Beschreibung:

AWS Ops Wheel ist ein Open-Source-Tool, das Teams dabei unterstützt, mithilfe eines virtuellen Glücksrads Zufallsauswahlen zu treffen; die Bereitstellung erfolgt über AWS CloudFormation in den AWS-Konten der Kunden.

CVE-2026-6911 betrifft ein Problem, bei dem die Verifizierung der Signatur von JWT-Token in der v2-API nicht durchgesetzt wurde. Dies könnte es einem nicht authentifizierten Akteur mit Netzwerkzugriff auf den API-Gateway-Endpunkt ermöglichen, ein Token zu erstellen und unbefugten Administratorzugriff auf die Anwendung zu erlangen, einschließlich der Möglichkeit, alle Anwendungsdaten mandantenübergreifend zu lesen, zu ändern und zu löschen sowie Cognito-Benutzerkonten innerhalb des Benutzerpools der Bereitstellung zu verwalten.

CVE-2026-6912 betrifft ein Problem in der Konfiguration des Cognito User Pools der Version 2, bei dem die Berechtigungen für Attribute nicht ausreichend eingeschränkt waren. Dies könnte es einem authentifizierten Benutzer ermöglichen, seine eigenen Berechtigungsattribute zu ändern und sich innerhalb der Anwendung erweiterte Zugriffsrechte zu verschaffen, einschließlich der Möglichkeit, Cognito-Benutzerkonten zu verwalten.

Betroffene Versionen:

  • AWS Ops Wheel v2-Bereitstellungen PR #163 und früher

Lösung:

CVE-2026-6911 wurde in PR #164 behoben und CVE-2026-6912 wurde in PR #165 behoben. Benutzer sollten von der neuesten Version erneut bereitstellen und sicherstellen, dass bei jedem abgezweigten oder abgeleiteten Code entsprechende Patches vorgenommen werden, sodass die neuen Fehlerbehebungen integriert werden.

Problemumgehungen:

Kunden, die nicht sofort eine neue Bereitstellung vornehmen können, können den Netzwerkzugriff auf ihren API-Gateway-Endpunkt mithilfe von AWS WAF- oder VPC-Konfigurationen einschränken, um den Zugriff zu begrenzen.

Referenzen:


Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.