Problema con AWS Ops Wheel (CVE-2026-6911 e CVE-2026-6912
ID bollettino: 2026-018-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 24/04/2026 9:15 PDT
Descrizione:
AWS Ops Wheel è uno strumento open-source che aiuta i team a effettuare selezioni casuali tramite una ruota virtuale, distribuito negli account AWS dei clienti tramite CloudFormation.
CVE-2026-6911 riguarda un problema in cui la verifica della firma dei token JWT non veniva applicata nell’API v2. Ciò potrebbe consentire a un attore non autenticato con accesso all’endpoint API Gateway di creare un token e ottenere accesso amministrativo non autorizzato all’applicazione, inclusa la possibilità di leggere, modificare ed eliminare tutti i dati dell’applicazione nei tenant e gestire gli account Cognito all’interno del pool di utenti della distribuzione.
CVE-2026-6912 riguarda invece un problema nella configurazione del pool di utenti di Cognito v2 in cui i permessi di scrittura sugli attributi non erano sufficientemente limitati. Ciò potrebbe consentire a un utente autenticato di modificare i propri attributi di privilegio e ottenere accesso elevato all’interno dell’applicazione, inclusa la possibilità di gestire gli account Cognito.
Versioni interessate:
- Distribuzioni AWS Ops Wheel v2 PR #163 e versioni precedenti
Risoluzione:
CVE-2026-6911 è stato risolto nella versione PR #164 e CVE-2026-6912 è stato risolto nella versione PR #165. Per integrare le nuove correzioni, consigliamo di effettuare nuovamente la distribuzione dalla versione più recente e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.
Soluzioni alternative:
i clienti che non possono effettuare immediatamente la ridistribuzione possono limitare l’accesso all’endpoint API Gateway utilizzando AWS WAF o configurazioni VPC, in modo da restringere l’accesso.
Riferimenti:
Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.