ID del boletín: 2026-020-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 27/04/2026 13:15 h PDT
 

Descripción:

QNABot en AWS es una solución de código abierto que proporciona una interfaz conversacional multicanal y multilingüe basada en Amazon Lex, Amazon OpenSearch Service y, de manera opcional, Amazon Bedrock.

Identificamos el error CVE-2026-7191, donde el uso incorrecto del paquete npm static-eval puede permitir a un administrador autenticado ejecutar código arbitrario dentro del contexto de ejecución de la función Lambda de cumplimiento. Al inyectar una expresión de encadenamiento condicional manipulada a través de la interfaz del diseñador de contenidos, un actor con acceso de administrador podría eludir el entorno de pruebas de expresiones previsto mediante la manipulación del prototipo de JavaScript. La explotación satisfactoria puede otorgar acceso directo a recursos de backend, incluidas variables de entorno de Lambda, índices de OpenSearch, objetos de S3 y tablas de DynamoDB, que no están expuestos a través de las interfaces administrativas normales.

Versiones afectadas: hasta la 7.2.4

Resolución:

Este problema se ha corregido en la versión 7.3.0 de QNabot en AWS. La dependencia static-eval se ha eliminado y se ha reemplazado por un evaluador de expresiones personalizado y limitado. Recomendamos actualizar a una versión superior a la 7.2.4 y verificar que cualquier código derivado o bifurcado incorpore las nuevas revisiones.

Soluciones alternativas:

No hay ninguna solución alternativa para este problema. Actualice a la versión 7.3.0 o posterior.

Referencias:

• CVE-2026-7191
• GHSA-h47x-8hgm-m83h

Reconocimiento:

Nos gustaría dar las gracias a Endor Labs por revelar este problema a AWS de forma responsable.

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.