Saltar al contenido principal

Problema con AWS Ops Wheel (CVE-2026-6911 y CVE-2026-6912)

ID del boletín: 2026-018-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 24/04/2026 9:15 h PDT
 

Descripción:

AWS Ops Wheel es una herramienta de código abierto que ayuda a los equipos a realizar selecciones aleatorias mediante una rueda giratoria virtual, implementada en las cuentas de los clientes de AWS a través de CloudFormation.

CVE-2026-6911 se refiere a un problema en el que no se aplicaba la verificación de la firma de los tokens JWT en la API v2. Esto podría permitir que un actor no autenticado con acceso de red al punto de conexión de API Gateway genere un token y obtenga acceso administrativo no previsto a la aplicación, incluida la capacidad de leer, modificar y eliminar todos los datos de la aplicación en todos los tenants, así como administrar cuentas de usuario de Cognito dentro del grupo de usuarios de la implementación.

CVE-2026-6912 se refiere a un problema en la configuración del grupo de usuarios de Cognito v2 en el que los permisos de escritura de atributos estaban insuficientemente restringidos. Esto podría permitir que un usuario autenticado modifique sus propios atributos de privilegio y obtenga acceso elevado dentro de la aplicación, incluida la capacidad de administrar cuentas de usuario de Cognito.

Versiones afectadas:

  • Implementaciones PR #163 de AWS Ops Wheel versión 2 y versiones anteriores

Resolución:

CVE-2026-6911 se ha abordado en PR #164 y CVE-2026-6912 se ha corregido en PR #165 . Los usuarios deben volver a realizar la implementación desde la versión más reciente y asegurarse de se aplique la revisión a cualquier código derivado o bifurcado de modo que incorpore las nuevas correcciones.

Soluciones alternativas:

Los clientes que no puedan volver a realizar una implementación inmediata pueden restringir el acceso a la red a su punto enlace de API Gateway mediante configuraciones de AWS WAF o VPC para limitar el acceso.

Referencias:


Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.