Passer au contenu principal

Problème avec AWS Ops Wheel (CVE-2026-6911 et CVE-2026-6912)

ID du bulletin : 2026-018-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 24/04/2026 à 9 h 15 (heure du Pacifique)
 

Description :

AWS Ops Wheel est un outil open source qui permet aux équipes d’effectuer des sélections aléatoires à l’aide d’une roue virtuelle déployée sur les comptes AWS des clients via CloudFormation.

CVE-2026-6911 concerne un problème dans lequel la vérification de la signature des jetons JWT n’était pas appliquée dans l’API v2. Cela pourrait permettre à un utilisateur non authentifié disposant d’un accès réseau au point de terminaison API Gateway de créer un jeton et d’obtenir un accès administratif involontaire à l’application, notamment la possibilité de lire, modifier et supprimer toutes les données d’application entre les locataires et de gérer les comptes utilisateurs Cognito au sein du groupe d’utilisateurs du déploiement.

CVE-2026-6912 concerne un problème dans la configuration du groupe d’utilisateurs Cognito v2 dans laquelle les autorisations d’écriture des attributs n’étaient pas suffisamment restreintes. Cela pouvait permettre à un utilisateur authentifié de modifier ses propres attributs de privilèges et d’obtenir un accès élevé dans l’application, y compris la possibilité de gérer les comptes utilisateurs Cognito.

Versions affectées :

  • Déploiements d’AWS Ops Wheel v2 avec la PR 163 et versions antérieures

Résolution :

CVE-2026-6911 résolue dans la PR 164 et CVE-2026-6912 résolue dans la PR 165. Les utilisateurs doivent procéder à un nouveau déploiement à partir de la dernière version et s’assurer que tout code dérivé ou issu d’un fork est corrigé pour intégrer les nouveaux correctifs.

Solutions de contournement :

Les clients qui ne peuvent pas procéder à un redéploiement immédiat peuvent restreindre l’accès réseau à leur point de terminaison API Gateway à l’aide de configurations AWS WAF ou VPC pour limiter l’accès.

Références :


Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.