Passa al contenuto principale

CVE-2026-5190 - Overflow dello stack del decodificatore di streaming di eventi AWS C

ID bollettino: 2026-011-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 31/03/2026 10:15 PST

Descrizione:

la libreria AWS Common Runtime viene utilizzata da diversi SDK AWS per comunicare con i servizi di event streaming (ad es., Kinesis, Transcribe). Abbiamo identificato la vulnerabilità CVE-2026-5190. Il componente di decodifica dello streaming di eventi di AWS Common Runtime, prima della versione 0.6.0, potrebbe consentire a una terza parte che opera da un server di causare un danneggiamento della memoria con conseguente esecuzione arbitraria di codice su un’applicazione client che elabora messaggi di streaming di eventi predisposti.

Versioni interessate:

  • aws-c-event-stream < 0.6.0 e le seguenti librerie di livello superiore che espongono la funzionalità di event streaming
  • aws-iot-device-sdk-cpp-v2 < 1.42.1
  • aws-iot-device-sdk-java-v2 < 1.30.1
  • aws-iot-device-sdk-python-v2 < 1.28.2
  • aws-iot-device-sdk-js-v2 < 1.25.1
  • aws-sdk-swift < 1.6.70
  • aws-sdk-cpp < 1.11.764

Risoluzione:

Questo problema è stato risolto in aws-c-event-stream versione 0.6.0, aws-iot-device-sdk-cpp-v2 versione 1.42.1, aws-iot-device-sdk-java-v2 versione 1.30.1, aws-iot-device-sdk-python-v2 versione 1.28.2, aws-iot-device-sdk-js-v2 versione 1.25.1, aws-sdk-swift 1.6.70 e aws-sdk-cpp versione 1.11.764.

Per incorporare le nuove correzioni, consigliamo di eseguire l’aggiornamento alla versione più recente e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.

Soluzioni alternative:

il problema può verificarsi solo quando il client comunica utilizzando il protocollo event-stream con una terza parte che gestisce un server. Per evitare il problema, assicurarsi che il server con cui si comunica sia affidabile. I server AWS non attivano questo problema.

Riferimento:

Desideriamo ringraziare 1seal.org per aver collaborato alla risoluzione di questo problema attraverso il processo di divulgazione coordinata delle vulnerabilità.

Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.