ID do boletim: 2026-011-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 31/3/2026 10:15 PST

Descrição:

A biblioteca AWS Common Runtime é utilizada por vários SDKs da AWS para se comunicar com serviços de fluxo de eventos (por exemplo, Kinesis, Transcribe). Identificamos o CVE-2026-5190. O componente decodificador de fluxo de eventos do AWS Common Runtime, em versões anteriores à 0.6.0, pode permitir que um terceiro que opere um servidor provoque corrupção de memória, levando à execução de código arbitrário em uma aplicação cliente que processe mensagens de fluxo de eventos manipuladas.

Versões afetadas:

• aws-c-event-stream < 0.6.0 e as seguintes bibliotecas de nível superior que oferecem funcionalidades de fluxo de eventos
• aws-iot-device-sdk-cpp-v2 < 1.42.1
• aws-iot-device-sdk-java-v2 < 1.30.1
• aws-iot-device-sdk-python-v2 < 1.28.2
• aws-iot-device-sdk-js-v2 < 1.25.1
• aws-sdk-swift < 1.6.70
• aws-sdk-cpp < 1.11.764

Resolução:

Esse problema foi resolvido em aws-c-event-stream versão 0.6.0, aws-iot-device-sdk-cpp-v2 versão 1.42.1, aws-iot-device-sdk-java-v2 versão 1.30.1, aws-iot-device-sdk-python-v2 versão 1.28.2, aws-iot-device-sdk-js-v2 versão 1.25.1, aws-sdk-swift 1.6.70 e aws-sdk-cpp versão 1.11.764.

Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Soluções alternativas:

O problema só pode ocorrer quando o cliente se comunica usando o protocolo de fluxo de eventos com um terceiro que opera um servidor. Para evitar esse problema, certifique-se de que o servidor com o qual está se comunicando seja confiável. Os servidores da AWS não provocariam esse problema.

Referência:

• CVE-2026-5190
• GHSA-xvjw-fjq5-68hf

Gostaríamos de agradecer a 1seal.org pela colaboração nesta questão por meio do processo coordenado de divulgação de vulnerabilidades.

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.