Überspringen zum Hauptinhalt

CVE-2026-13760 – OS Command Injection im NodejsFunction-Docker-Bundling in aws-cdk-lib

Bulletin-ID: 2026-050-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 01.07.2026, 12:15 Uhr PDT

Beschreibung:

AWS CDK (aws-cdk-lib) ist ein Open-Source-Framework für die Definition von Cloud-Infrastruktur in Code und deren Bereitstellung über AWS CloudFormation. Wir haben CVE-2026-13760 identifiziert, eine Schwachstelle aufgrund einer OS Command Injection in der NodejsFunction-Docker-Bundling-Pipeline in aws-cdk-lib vor Version 2.260.0. Diese Schwachstelle könnte es einem Angreifer, der die Versionsangaben der Abhängigkeiten in der Datei „package.json“ eines Projekts kontrolliert, ermöglichen, über in den OsCommand-Helper eingefügte Shell-Metazeichen beliebige Befehle auf dem Host auszuführen, auf dem die CDK-Toolchain ausgeführt wird. In diesem Fall muss der Akteur den Inhalt einer Versionsangabe in der Datei „package.json“ kontrollieren, die beim Docker-basierten Bündeln mit angegebenen „nodeModules“ verarbeitet wird.

Betroffene Versionen: < 2.260.0

Lösung:

Dieses Problem wurde in der aws-cdk-lib-Version 2.260.0 behoben. Sie sollten ein Upgrade auf die neueste Version vornehmen und dafür sorgen, dass geforkter oder derivativer Code gepatcht wird, damit die neuen Korrekturen enthalten sind.

Umgehungslösungen:

Stellen Sie sicher, dass die in der nodeModules-Bündelungsoption aufgeführten Module – sowie die für diese in der Datei „package.json“ Ihres Projekts angegebenen Versionsangaben und die Versionen der entsprechenden installierten Pakete – ausschließlich aus vertrauenswürdigen Quellen stammen. Durch die Verwendung der lokalen Bündelung anstelle der Docker-basierten Bündelung wird der betroffene Codepfad vermieden. Ein Upgrade auf eine feste Version ist die empfohlene Abhilfe.

Referenzen:

Danksagung:

Wir möchten dem externen Hinweisgeber Mostafa Ashraf danken, der im Rahmen des AWS Vulnerability Disclosure Program (koordinierter Prozess zur Offenlegung von Schwachstellen) an diesem Thema mitgewirkt hat.


Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.