메인 콘텐츠로 건너뛰기

CVE-2026-13760 - aws-cdk-lib의 NodejsFunction Docker 번들링에서 OS 명령 삽입 문제

공지 ID: 2026-050-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 7월 1일 오후 12시 15분(PDT)

설명:

AWS CDK(aws-cdk-lib)는 클라우드 인프라를 코드로 정의하고 AWS CloudFormation을 통해 프로비저닝하는 오픈 소스 프레임워크입니다. 2.260.0 이전 aws-cdk-lib의 NodeJSFunction Docker 번들링 파이프라인에서 OS 명령 삽입 문제인 CVE-2026-13760를 확인했습니다. 이로 인해 프로젝트의 package.json 파일에서 종속성 버전 문자열을 제어하는 행위자가 OSCommand 헬퍼에 삽입된 셸 메타문자를 통해 CDK 툴체인을 실행하는 호스트에서 임의의 명령을 실행할 수 있습니다. 이 문제에서는 행위자가 nodeModules가 지정된 Docker 기반 번들링 중에 처리되는 package.json 종속성 버전 문자열의 내용을 제어해야 합니다.

영향을 받는 버전: 2.260.0 미만 버전

해결 방법:

이 문제는 aws-cdk-lib 버전 2.260.0에서 해결되었습니다. 최신 버전으로 업그레이드하고, 새로운 수정 사항이 반영되도록 포크되거나 파생된 코드에 패치를 적용하는 것이 좋습니다.

대안:

설치된 해당 패키지의 버전뿐만 아니라 nodeModules 번들링 옵션에 나열된 모듈과 프로젝트의 package.json에 명시된 버전 문자열이 신뢰할 수 있는 출처에서만 제공되는지 확인하세요. Docker 기반 번들링 대신 로컬 번들링을 사용하면 영향을 받는 코드 경로를 피할 수 있습니다. 수정된 버전으로 업그레이드하여 해결하시기를 권장합니다.

참고 사항:

도움을 주신 분:

조정된 취약점 공개 프로세스를 통해 이러한 문제에 대해 협력해 주신 외부 제보자 Mostafa Ashraf 님에게 감사드립니다.


보안 관련 질문이나 우려 사항이 있는 경우 이메일 aws-security@amazon.com을 통해 문의하세요.