速報 ID: 2026-018-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 4 月 24 日 午前 9 時 15 分 (PDT)
 

説明:

AWS Ops Wheel は、チームが仮想スピニングホイールを使用してランダムな選択を行えるようにするオープンソースのツールで、CloudFormation を介してお客様の AWS アカウントにデプロイされます。

CVE-2026-6911 は、v2 API において JWT トークンの署名検証が強制されていなかった問題に関するものです。この問題により、API Gateway エンドポイントへのネットワークアクセスを持つ認証されていないアクターがトークンを作成し、アプリケーションへの意図しない管理アクセス権を取得する可能性があります。これには、テナント全体にわたるアプリケーションデータの読み取り、変更、削除や、デプロイのユーザープール内にある Cognito ユーザーアカウントの管理などが含まれます。

CVE-2026-6912 は、属性の書き込み許可が十分に制限されていなかった v2 Cognito ユーザープール設定の問題に関するものです。これにより、認証されたユーザーは自身の権限属性を変更したり、Cognito ユーザーアカウントの管理機能など、アプリケーション内でアクセス権を昇格したりすることが可能になります。

影響を受けるバージョン:

• AWS Ops Wheel v2 デプロイ PR #163 およびそれ以前

解決方法:

CVE-2026-6911 は PR #164 で対処されており、CVE-2026-6912 は PR #165 で対処されています。ユーザーは、最新バージョンから再デプロイし、フォークされたコードや派生コードにパッチを適用して、新しい修正が組み込まれるようにする必要があります。

回避策:

すぐに再デプロイできないお客様は、AWS WAF または VPC 設定を使用して API ゲートウェイエンドポイントへのネットワークアクセスを制限できます。

参考情報:

• CVE-2026-6911
• CVE-2026-6912
• GHSA-v5vr-8w3c-37x2
• GHSA-qvfh-9cjw-8wwq

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。