速報 ID: 2026-041-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 6 月 10 日 午前 10 時 45 分 (PDT)

説明:

AWS CDK (aws-cdk-lib) は、コードでクラウドインフラストラクチャを定義し、AWS CloudFormation を介してプロビジョニングするためのオープンソースフレームワークです。当社では CVE-2026-11417 を特定しました。これは、2.245.0 (Windows では 2.246.0) よりも前の aws-cdk-lib における、NodejsFunction ローカルバンドルパイプラインでの OS コマンドインジェクションの問題です。この脆弱性により、1 つ以上のバンドルプロパティ (externalModules、define、loader、inject、esbuildArgs) の値を制御する攻撃者は、注入されたシェルメタ文字を介して、CDK ツールチェーンを実行しているホスト上で任意のコマンドを実行できるようになる可能性があります。この問題を悪用するには、攻撃者が CDK アプリケーション内の影響を受けるバンドルプロパティのうち、1 つ以上の値を制御する必要があります。

影響を受けるバージョン: < 2.245.0 (Windows では < 2.246.0)

解決方法:

この問題は、aws-cdk-lib バージョン 2.245.0 (Windows では 2.246.0) で対処されています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

NodejsFunction バンドルプロパティに渡される値は、信頼できるソースからのみ取得するようにしてください。また、これらの値を設定するサードパーティーのコンストラクトおよびプルリクエストを監査してください。是正として、修正済みのバージョンにアップグレードすることが推奨されます。

参考情報:

• CVE-2026-11417
• GHSA-999r-qq7v-r334

謝辞:

AWS Vulnerability Disclosure Program (協調的脆弱性開示プロセス) を通じてこの問題の解決に向けて協力してくださった外部報告者である Hesham Ashraf 氏に感謝いたします。

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。