공지 ID: 2026-020-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 4월 27일 오후 1시 15분(PDT)
 

설명:

QnABot on AWS는 Amazon Lex, Amazon OpenSearch Service 및 선택적으로 Amazon Bedrock에서 제공하는 다중 채널, 다국어 대화형 인터페이스를 제공하는 오픈 소스 솔루션입니다.

static-eval npm 패키지를 잘못 사용하면 인증된 관리자가 이행 Lambda 실행 컨텍스트 내에서 임의의 코드를 실행할 수 있는 CVE-2026-7191 문제를 확인했습니다. 관리자 권한이 있는 행위자는 Content Designer 인터페이스를 통해 조작된 조건부 체이닝 표현식을 주입함으로써 JavaScript 프로토타입 조작을 통해 의도된 표현식 샌드박스를 우회할 수 있습니다. 악용에 성공하면 일반 관리 인터페이스를 통해 노출되지 않는 Lambda 환경 변수, OpenSearch 인덱스, S3 객체 및 DynamoDB 테이블을 비롯한 백엔드 리소스에 직접 액세스할 수 있습니다.

영향을 받는 버전: 7.2.4 이하

해결 방법:

이 문제는 QnABot on AWS 버전 7.3.0에서 해결되었습니다. static-eval 종속성이 제거되고 제한된 사용자 지정 표현식 평가기로 대체되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 버전 7.2.4 이상으로 업그레이드하여 새로운 수정 사항을 반영하세요.

대안:

이 문제에 대한 다른 해결 방법은 없습니다. 버전 7.3.0 이상으로 업그레이드합니다.

참고 사항:

• CVE-2026-7191
• GHSA-h47x-8hgm-m83h

도움을 주신 분:

책임감 있게 이 문제를 AWS에 공개해 주신 Endor Labs에 감사드립니다.

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.