Saltar al contenido principal

CVE-2026-5190: desbordamiento del búfer de la pila de decodificadores de transmisión de eventos de AWS C

ID del boletín: 2026-011-AWS
Alcance: AWS
Tipo de contenido: importante (requiere atención)
Fecha de la publicación: 31/03/2026 10:15 h PST

Descripción:

Varios SDK de AWS utilizan la biblioteca de AWS Common Runtime para comunicarse con los servicios de transmisión de eventos (p. ej., Kinesis, Transcribe). Identificamos el CVE-2026-5190. El componente descodificador de transmisiones de eventos de AWS Common Runtime anterior a la versión 0.6.0 podía permitir que un tercero que operara un servidor dañara la memoria y provocara la ejecución de código arbitrario en una aplicación cliente que procesara mensajes de transmisión de eventos diseñados.

Versiones afectadas:

  • Las versiones de aws-c-event-stream anteriores a la 0.6.0 y las siguientes bibliotecas de nivel superior que exponen la funcionalidad de transmisión de eventos
  • Las versiones de aws-iot-device-sdk-cpp-v2 anteriores a la 1.42.1
  • Las versiones de aws-iot-device-sdk-java-v2 anteriores a la 1.30.1
  • Las versiones de aws-iot-device-sdk-python-v2 anteriores a la 1.28.2
  • Las versiones de aws-iot-device-sdk-js-v2 anteriores a la 1.25.1
  • Las versiones de aws-sdk-swift anteriores a la 1.6.70
  • Las versiones de aws-sdk-cpp anteriores a la 1.11.764

Resolución:

Este problema se solucionó en la versión 0.6.0 de aws-c-event-stream, la versión 1.42.1 de aws-iot-device-sdk-cpp-v2, la versión 1.30.1 de aws-iot-device-sdk-java-v2, la versión 1.28.2 de aws-iot-device-sdk-python-v2, la versión 1.25.1 de aws-iot-device-sdk-js-v2, la versión 1.6.70 de aws-sdk-swift y la versión 1.11.764 de aws-sdk-cpp.

Recomendamos actualizar a la versión más reciente y verificar que cualquier código derivado o bifurcado incorpore las nuevas revisiones.

Soluciones alternativas:

El problema solo puede ocurrir cuando el cliente se comunica mediante el protocolo de transmisión de eventos con un tercero que opera un servidor. Para evitar este problema, asegúrese de que el servidor con el que se comunica sea de confianza. Los servidores de AWS no provocarían este problema.

Referencia:

Agradecemos a 1seal.org por su colaboración en la resolución de este asunto a través del proceso coordinado de divulgación de vulnerabilidades.

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.