ID du bulletin : 2026-038-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 02/06/2026 à 12 h 15 (heure du Pacifique)

Description :

Graph Explorer est une application open source qui permet de visualiser et d’explorer des données dans des bases de données orientées graphe comme Amazon Neptune. Nous avons identifié le problème CVE-2026-10584 : dans certaines circonstances, le serveur rebascule silencieusement vers HTTP lorsque HTTPS est activé, mais que les certificats ne sont pas disponibles, ce qui entraîne la transmission en clair d’informations sensibles.

Versions concernées : >= 1.1.0 ET < 3.0.1

Résolution :

Ce problème a été résolu dans la version 3.0.1 de Graph Explorer. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou forké soit mis à jour afin d’intégrer les nouveaux correctifs.

Solutions de contournement :

Si vous ne pouvez pas effectuer la mise à niveau immédiatement, veuillez prendre les mesures suivantes :

• Vérifiez que votre déploiement utilise bien HTTPS en contrôlant le protocole dans le navigateur ou via curl.
• Assurez-vous que HOST est défini dans votre commande docker run afin que les certificats soient générés correctement.
• Évitez d’utiliser des chemins autres que celui par défaut pour le répertoire de configuration lorsque vous utilisez la génération automatique de certificats autosignés.

Références :

• CVE-2026-10584
• GHSA-r6vr-4rxc-x6q4

Remerciements :

Nous tenons à remercier Eduardo Caro pour sa collaboration sur ce problème dans le cadre du processus coordonné de divulgation des vulnérabilités.

Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.