CVE-2026-13760 – aws-cdk-lib の NodejsFunction Docker バンドルにおける OS コマンドインジェクション
速報 ID: 2026-050-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 7 月 1 日 午後 12 時 15 分 (PDT)
説明:
AWS CDK (aws-cdk-lib) は、コードでクラウドインフラストラクチャを定義し、AWS CloudFormation を介してプロビジョニングするためのオープンソースフレームワークです。AWS は、2.260.0 より前の aws-cdk-lib の NodejsFunction Docker バンドルパイプラインに存在する OS コマンドインジェクションの問題である CVE-2026-13760 を特定しました。この問題では、プロジェクトの package.json ファイル内の依存関係バージョン文字列を制御するアクターが、OSCommand ヘルパーに注入されたシェルメタ文字を介して、CDK ツールチェーンを実行しているホスト上で任意のコマンドを実行できる可能性があります。この問題は、nodeModules が指定された状態で行われる Docker ベースのバンドル中に処理される package.json 依存関係バージョン文字列の内容をアクターが制御した場合に発生します。
影響を受けるバージョン: < 2.260.0
解決方法:
この問題は、aws-cdk-lib バージョン 2.260.0 で対処されています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。
回避策:
nodeModules バンドルオプションで指定されているモジュール、プロジェクトの package.json で宣言されているバージョン文字列、および対応するインストール済みパッケージのバージョンが、信頼できるソースからのみ提供されていることを確認してください。Docker ベースのバンドルの代わりにローカルバンドルを使用すると、影響を受けるコードパスを回避できます。是正として、修正済みのバージョンにアップグレードすることが推奨されます。
参考情報:
謝辞:
AWS Vulnerability Disclosure Program (協調的脆弱性開示プロセス) を通じてこの問題にご協力いただいた外部報告者の Mostafa Ashraf 氏に感謝いたします。
セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。