速報 ID: 2026-020-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 4 月 27 日 午後 13 時 15 分 (PDT)
 

説明:

QnABot on AWSは、Amazon Lex、Amazon OpenSearch Service、およびオプションで Amazon Bedrock を利用した、マルチチャネル、多言語の会話型インターフェイスを提供するオープンソースソリューションです。

当社は、CVE-2026-7191 を特定しました。これは、static-eval npm パッケージの不適切な使用により、認証された管理者がフルフィルメント Lambda の実行コンテキスト内で任意のコードを実行できる可能性があるというものです。Content Designer インターフェイスを介して細工された条件付き連鎖式を挿入することで、管理者権限を持つアクターが JavaScript プロトタイプの操作を通じて想定された式サンドボックスをバイパスする可能性があります。この脆弱性が悪用されると、通常の管理インターフェイスでは公開されないバックエンドリソース (Lambda 環境変数、OpenSearch インデックス、S3 オブジェクト、DynamoDB テーブルなど) に直接アクセスできるようになる可能性があります。

影響を受けるバージョン:7.2.4 以下

解決方法:

この問題は、QnABot on AWS バージョン 7.3.0 で解決されています。static-eval 依存関係は削除され、制限付きのカスタム式エバリュエーターに置き換えられました。v7.2.4 より新しいバージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

この問題に対する回避策はありません。バージョン 7.3.0 以降にアップグレードしてください。

参考情報:

• CVE-2026-7191
• GHSA-h47x-8hgm-m83h

謝辞:

責任を持ってこの問題を AWS に開示した Endor Labs に感謝いたします。

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。