공지 ID: 2026-018-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 4월 24일 오전 9시 15분(PDT)
 

설명:

AWS Ops Wheel은 팀이 CloudFormation을 통해 고객 AWS 계정에 배포한 가상의 회전 휠을 사용하여 무작위로 선택할 수 있도록 지원하는 오픈 소스 도구입니다.

CVE-2026-6911은 v2 API에서 JWT 토큰 서명 검증이 적용되지 않은 문제와 관련이 있습니다. 이를 통해 API Gateway 엔드포인트에 대한 네트워크 액세스 권한을 가진 인증되지 않은 행위자가 토큰을 생성하여 애플리케이션에 대한 의도하지 않은 관리 액세스 권한을 얻을 수 있습니다. 여기에는 모든 테넌트의 애플리케이션 데이터를 읽고, 수정하고, 삭제하며, 배포의 사용자 풀 내 Cognito 사용자 계정을 관리하는 기능이 포함됩니다.

CVE-2026-6912는 속성 쓰기 권한이 충분히 제한되지 않는 v2 Cognito 사용자 풀 구성의 문제와 관련이 있습니다. 이를 통해 인증된 사용자는 자신의 권한 속성을 수정하고 Cognito 사용자 계정을 관리하는 기능을 포함하여 애플리케이션 내에서 향상된 액세스 권한을 얻을 수 있습니다.

영향을 받는 버전:

• AWS Ops Wheel v2 배포 PR #163 및 이전 버전

해결 방법:

CVE-2026-6911은 PR #164에서 해결되었으며 CVE-2026-6912는 PR #165에서 해결되었습니다. 최신 버전에서 다시 배포하여 포크 코드 또는 파생 코드가 새로운 수정 사항에 적용되도록 패치되었는지 확인하세요.

대안:

즉시 다시 배포할 수 없는 고객은 AWS WAF 또는 VPC 구성을 통해 액세스를 제한하여 API Gateway 엔드포인트에 대한 네트워크 액세스를 제한할 수 있습니다.

참고 사항:

• CVE-2026-6911
• CVE-2026-6912
• GHSA-v5vr-8w3c-37x2
• GHSA-qvfh-9cjw-8wwq

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.