공지 ID: 2026-041-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 6월 10일 오전 10시 45분(PDT)

설명:

AWS CDK(aws-cdk-lib)는 클라우드 인프라를 코드로 정의하고 AWS CloudFormation을 통해 프로비저닝하는 오픈 소스 프레임워크입니다. aws-cdk-lib 2.245.0 이전 버전(Windows에서는 2.246.0 이전 버전)의 NodejsFunction 로컬 번들링 파이프라인에서 OS 명령 삽입 문제 CVE-2026-11417을 발견했습니다. 이로 인해 하나 이상의 번들링 속성(externalModules, define, loader, inject 또는 esbuildArgs) 값을 제어하는 ​​공격자가 삽입된 쉘 메타 문자를 통해 CDK 툴체인을 실행 중인 호스트에서 임의 명령을 실행할 수 있습니다. 공격자가 CDK 애플리케이션에서 영향을 받는 하나 이상의 번들링 속성 값을 제어할 수 있어야 이 문제가 발생합니다.

영향을 받는 버전: 2.245.0 미만(Windows에서는 2.246.0 미만)

해결 방법:

이 문제는 aws-cdk-lib 버전 2.245.0(Windows의 경우 2.246.0)에서 해결되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.

대안:

NodejsFunction 번들링 속성에 전달되는 값은 신뢰할 수 있는 출처에서만 제공되도록 하고, 해당 값을 설정하는 타사 구성 요소 및 풀 요청에 대한 감사를 실시합니다. 수정된 버전으로 업그레이드하여 해결하시기를 권장합니다.

참고 사항:

• CVE-2026-11417
• GHSA-999r-qq7v-r334

도움을 주신 분:

AWS 취약성 공개 프로그램(조율된 취약성 공개 프로세스)을 통해 이 문제 해결에 도움을 주신 외부 제보자 Hesham Ashraf 님께 감사드립니다.

보안 관련 질문이나 우려 사항이 있는 경우 이메일 aws-security@amazon.com을 통해 문의하세요.