Passer au contenu principal

Problèmes liés à AWS Research and Engineering Studio (RES)

ID du bulletin : 2026-014-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 06/04/2026 à 14 h (heure du Pacifique)

Description :

AWS Research and Engineering Studio (RES) est un portail Web open source qui permet aux administrateurs de créer et de gérer des environnements de recherche et d’ingénierie sécurisés basés sur le cloud. Nous avons identifié les problèmes suivants concernant AWS Research and Engineering Studio (RES).

CVE-2026-5707 : une entrée non assainie dans une commande du système d’exploitation dans la gestion des noms de session de bureau virtuel dans AWS Research and Engineering Studio (RES) versions 2025.03 à 2025.12.01 peut permettre à un acteur authentifié à distance d’exécuter des commandes arbitraires en tant que root sur l’hôte du bureau virtuel via un nom de session spécialement conçu.

CVE-2026-5708 : un contrôle incorrect des attributs modifiables par l’utilisateur dans le composant de création de session dans AWS Research and Engineering Studio (RES) avant la version 2026.03 peut permettre à un utilisateur distant authentifié d’augmenter ses privilèges, d’assumer les autorisations du profil d’instance d’hôte de bureau virtuel et d’interagir avec d’autres ressources et services AWS via une demande d’API spécialement conçue.

CVE-2026-5709 : une entrée non assainie dans l’API FileBrowser d’AWS Research and Engineering Studio (RES) versions 2024.10 à 2025.12.01 peut permettre à un acteur authentifié à distance d’exécuter des commandes arbitraires sur l’instance EC2 du gestionnaire de cluster via une entrée spécialement conçue lors de l’utilisation de la fonctionnalité FileBrowser.

Versions affectées : <= 2025.12.01

Résolution :

Ce problème a été résolu dans RES version 2026.03. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou issu d’un fork soit mis à jour afin d’intégrer les nouveaux correctifs.

Solutions de contournement
L’utilisateur peut appliquer un correctif à l’environnement RES existant en suivant les instructions d’atténuation [2025.12.01 et versions antérieures] Empêcher l’injection de commandes via le nom de session, [2025.12.01 et versions antérieures] Escalade de privilèges via l’injection de profil d’instance, ou [2025.12.01 et versions antérieures] Injection de commandes via FileBrowser.

 

Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.