ID bollettino: 2026-020-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 27/04/2026 13:15 PM PDT
 

Descrizione:

QnABot su AWS è una soluzione open-source che fornisce un’interfaccia conversazionale multi-canale e multilingua basata su Amazon Lex, Servizio OpenSearch di Amazon e, opzionalmente, Amazon Bedrock.

È stata identificata la vulnerabilità CVE-2026-7191, relativa a un uso non corretto del pacchetto npm static-eval, che potrebbe consentire a un amministratore autenticato di eseguire codice arbitrario nel contesto di esecuzione della Lambda di fulfillment. Sfruttando l’interfaccia Content Designer, un attore con privilegi di amministrazione potrebbe iniettare un’espressione appositamente costruita tramite chaining condizionale, aggirando il sandbox di valutazione delle espressioni attraverso manipolazioni del prototipo JavaScript. In caso di exploit riuscito, sarebbe possibile ottenere accesso diretto a risorse backend non esposte tramite le normali interfacce amministrative, tra cui variabili d’ambiente Lambda, indici OpenSearch, oggetti S3 e tabelle DynamoDB.

Versioni interessate: 7.2.4 e precedenti

Risoluzione:

Il problema è stato risolto nella versione 7.3.0 di QnABot su AWS. La dipendenza static-eval è stata rimossa e sostituita con un valutatore di espressioni personalizzato e limitato. Si raccomanda di aggiornare a una versione successiva alla 7.2.4, e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork per integrare le nuove correzioni.

Soluzioni alternative:

Non sono disponibili soluzioni alternative: è necessario effettuare l’aggiornamento alla versione 7.3.0 o successiva.

Riferimenti:

• CVE-2026-7191
• GHSA-h47x-8hgm-m83h

Ringraziamenti:

si ringrazia Endor Labs per la segnalazione responsabile della vulnerabilità ad AWS.

Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.