ID del boletín: 2026-038-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 02/06/2026 12:15 h PDT

Descripción:

Graph Explorer es una aplicación de código abierto que proporciona visualización y exploración de datos en bases de datos de gráficos como Amazon Neptune. Identificamos la vulnerabilidad CVE-2026-10584 en la que, en determinadas circunstancias, el servidor cambia de forma silenciosa a HTTP cuando HTTPS está habilitado, pero los certificados no están disponibles, lo que provoca la transmisión de información confidencial en texto sin cifrar.

Versiones afectadas: >=1.1.0 Y <3.0.1

Resolución:

Este problema se solucionó en la versión 3.0.1 de Graph Explorer. Recomendamos actualizar a la versión más reciente y verificar que cualquier código derivado o bifurcado incorpore las nuevas correcciones.

Soluciones alternativas:

Si no puede llevar a cabo la actualización de inmediato, haga lo siguiente:

• Verifique que la implementación funcione realmente a través de HTTPS; para ello, compruebe el protocolo en el navegador o mediante curl.
• Asegúrese de que HOST esté definido en el comando docker run para que los certificados se generen correctamente.
• Evite usar rutas de directorio de configuración no predeterminadas cuando confíe en la generación automática de certificados autofirmados.

Referencias:

• CVE-2026-10584
• GHSA-r6vr-4rxc-x6q4

Reconocimiento:

Agradecemos a Eduardo Caro por colaborar en este asunto a través del proceso coordinado de divulgación de vulnerabilidades.

Si tiene alguna pregunta o inquietud sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.