Bulletin-ID: 2026-020-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 27.04.2026, 13.15 Uhr PDT
 

Beschreibung:

QnaBot in AWS ist eine Open-Source-Lösung, die eine mehrkanalige, mehrsprachige Konversationsschnittstelle bereitstellt, die auf Amazon Lex, Amazon OpenSearch Service und optional Amazon Bedrock basiert.

Wir haben die Sicherheitslücke CVE-2026-7191 identifiziert, bei der die unsachgemäße Verwendung des npm-Pakets „static-eval“ es einem authentifizierten Administrator ermöglichen könnte, beliebigen Code innerhalb des Kontexts der Ausführung von Fulfillment Lambda auszuführen. Durch das Einfügen eines speziell gestalteten Ausdrucks mit bedingter Verkettung über die Content-Designer-Schnittstelle könnte ein Akteur mit Administratorrechten die vorgesehene Ausdrucks-Sandbox durch Manipulation von JavaScript-Prototypen umgehen. Eine erfolgreiche Ausnutzung dieser Schwachstelle kann direkt auf Backend-Ressourcen zugreifen, darunter Lambda-Umgebungsvariablen, OpenSearch-Indizes, S3-Objekte und DynamoDB-Tabellen, die über die üblichen Verwaltungsschnittstellen nicht zugänglich sind.

Betroffene Versionen:

Lösung:

Dieses Problem wurde in QnaBot in AWS Version 7.3.0 behoben. Die Abhängigkeit von „static-eval“ wurde entfernt und durch einen eingeschränkten, benutzerdefinierten Ausdrucksauswerter ersetzt. Wir empfehlen, ein Upgrade auf eine Version > v7.2.4 vorzunehmen und dafür zu sorgen, dass jeder geforkte oder derivative Code gepatcht wird, damit die neuen Fehlerbehebung integriert sind.

Problemumgehungen:

Für dieses Problem gibt es keine Problemumgehung. Führen Sie ein Upgrade auf Version 7.3.0 oder höher durch.

Verweise:

• CVE-2026-7191
• GHSA-h47x-8hgm-m83h

Danksagung:

Wir danken Endor Labs für die verantwortungsbewusste Meldung dieses Problems an AWS.

Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.