CVE-2026-13760 – Injection de commandes du système d’exploitation dans le regroupement Docker de NodejsFunction dans aws-cdk-lib
ID du bulletin : 2026-050-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 01/07/2026 à 12 h 15 (heure du Pacifique)
Description :
AWS CDK (aws-cdk-lib) est un cadre open source permettant de définir l’infrastructure cloud sous forme de code et de la mettre en service via AWS CloudFormation. Nous avons identifié CVE-2026-13760, un problème d’injection de commandes du système d’exploitation dans le pipeline de regroupement Docker de NodejsFunction dans aws-cdk-lib avant la version 2.260.0. Ce problème pourrait permettre à un acteur contrôlant les chaînes de version de dépendance dans le fichier package.json d’un projet d’exécuter des commandes arbitraires sur l’hôte exécutant la chaîne d’outils CDK via des métacaractères shell injectés dans l’assistant OsCommand. Ce problème nécessite que l’acteur contrôle le contenu d’une chaîne de version de dépendance package.json qui est traitée lors du regroupement basé sur Docker avec nodeModules spécifié.
Versions concernées : < 2.260.0
Résolution :
Ce problème a été résolu dans la version 2.260.0 de aws-cdk-lib. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou forké est mis à jour afin d’intégrer les nouveaux correctifs.
Solutions de contournement :
Assurez-vous que les modules répertoriés dans l’option de regroupement nodeModules – ainsi que les chaînes de version déclarées pour ceux-ci dans le fichier package.json de votre projet, et les versions des paquets installés correspondants – proviennent exclusivement de sources fiables. L’utilisation du regroupement local au lieu du regroupement basé sur Docker permet d’éviter le chemin de code concerné. La mise à niveau vers une version corrigée est la mesure corrective recommandée.
Références :
Remerciements :
Nous tenons à remercier le chercheur externe Mostafa Ashraf qui a collaboré sur ce problème dans le cadre du programme de divulgation des vulnérabilités d’AWS (processus coordonné de divulgation des vulnérabilités).
Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.