ID du bulletin : 2026-020-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 27/04/2026 à 13 h 15 (heure du Pacifique)
 

Description :

QNabot sur AWS est une solution open source qui fournit une interface conversationnelle multicanale et multilingue alimentée par Amazon Lex, Amazon OpenSearch Service et de façon facultative par Amazon Bedrock.

Nous avons identifié CVE-2026-7191, dans laquelle l’utilisation incorrecte du package npm static-eval peut permettre à un administrateur authentifié d’exécuter du code arbitraire dans le contexte d’exécution Lambda. En injectant une expression de chaînage conditionnelle forgée via l’interface du Content Designer, un utilisateur disposant d’un accès administrateur pourrait contourner l’environnement de test (sandbox) des expressions prévues en manipulant des prototypes JavaScript. Une exploitation réussie peut accorder un accès direct aux ressources du dorsal, notamment aux variables d’environnement Lambda, aux index OpenSearch, aux objets S3 et aux tables DynamoDB qui ne sont pas exposés via les interfaces administratives normales.

Versions affectées :<=7.2.4

Résolution :

Ce problème a été résolu dans QNabot sur AWS version 7.3.0. La dépendance static-eval a été supprimée et remplacée par un évaluateur d’expressions personnalisé limité. Nous vous recommandons de passer à la version > v7.2.4 et de vous assurer que tout code dérivé ou issu d’un fork soit mis à jour afin d’intégrer les nouveaux correctifs.

Solutions de contournement :

Il n’existe aucune solution de contournement à ce problème. Passez à la version 7.3.0 ou ultérieure.

Références :

• CVE-2026-7191
• GHSA-h47x-8hgm-m83h

Remerciements :

Nous tenons à remercier Endor Labs d’avoir informé AWS de ce problème.

Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.