공지 ID: 2026-014-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 4월 6일 오후 2시(PST)

설명:

Research and Engineering Studio(RES) on AWS는 오픈 소스 웹 포털 디자인으로, 관리자가 안전한 클라우드 기반 연구 및 엔지니어링 환경을 만들고 관리하는 데 사용할 수 있습니다. AWS Research and Engineering Studio(RES)에서 다음과 같은 문제를 발견했습니다.

CVE-2026-5707: AWS Research and Engineering Studio(RES) 버전 2025.03부터 2025.12.01까지 가상 데스크톱 세션 이름 처리에서 OS 명령에 검증되지 않은 입력이 있는 경우, 원격 인증된 공격자가 조작된 세션 이름을 통해 가상 데스크톱 호스트에서 루트 권한으로 임의 명령을 실행할 수 있습니다.

CVE-2026-5708: AWS Research and Engineering Studio(RES) 2026.03 이전 버전에서 세션 생성 구성 요소의 사용자 수정 가능 속성 제어가 부적절하면 원격 인증된 사용자가 권한을 에스컬레이션하여 가상 데스크톱 호스트 인스턴스 프로파일 권한을 획득하고 조작된 API 요청을 통해 다른 AWS 리소스 및 서비스와 상호 작용할 수 있습니다.

CVE-2026-5709: AWS Research and Engineering Studio(RES) 버전 2024.10부터 2025.12.01에서 FileBrowser API에서 검증되지 않은 입력이 있는 경우 원격 인증된 공격자가 FileBrowser 기능을 사용할 때 조작된 입력을 통해 cluster-manager EC2 인스턴스에서 임의 명령을 실행할 수 있습니다.

영향을 받는 버전: 2025.12.01 버전 및 이전 버전

해결 방법:

이 문제는 RES 버전 2026.03에서 해결되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.

대안
사용자는 다음 완화 지침에 따라 기존 RES 환경에 패치를 적용할 수 있습니다. [2025.12.01 및 이전] 세션 이름을 통한 명령 주입 방지, [2025.12.01 및 이전] 인스턴스 프로파일 주입을 통한 권한 에스컬레이션, [2025.12.01 및 이전] FileBrow를 통한 명령 주입

 

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.