ID do boletim: 2026-015-AWS
Escopo: AWS
Tipo de conteúdo: Importante
Data de publicação: 7/4/2026 15:30 PST

Descrição:

O Firecracker é uma tecnologia de virtualização de código aberto projetada especificamente para criar e gerenciar serviços baseados em funções e contêineres seguros e multilocatários.

Identificamos o CVE-2026-5747, um problema de gravação fora dos limites no transporte PCI virtio no Firecracker 1.13.0 a 1.14.3 e 1.15.0 em x86_64 e aarch64, que pode permitir que um usuário convidado local com privilégios root possa travar o processo VMM do Firecracker ou, potencialmente, executar código arbitrário no host por meio da modificação dos registros de configuração da fila virtio após a ativação do dispositivo. Para conseguir a execução de código no host, são necessárias pré-condições adicionais, como o uso de um kernel convidado personalizado ou configurações específicas de snapshot.

Nenhum serviço da AWS é afetado.

Versões afetadas: Firecracker >= 1.13.0 AND <= 1.14.3 E 1.15.0

Resolução:

Este problema foi resolvido nas versões 1.14.4 e 1.15.1 do Firecracker. Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Soluções alternativas
O transporte PCI virtio requer habilitação explícita por meio do sinalizador de linha de comando --enable-pci ao iniciar o Firecracker. O transporte MMIO tradicional é o padrão e não é afetado por esse problema. Os usuários que habilitaram o transporte PCI podem voltar a usar o MMIO removendo o sinalizador --enable-pci da chamada do Firecracker. Observe que a mudança do transporte PCI para o MMIO pode resultar em uma redução no throughput de E/S e em um aumento na latência.

Referências
CVE-2026-5747
GHSA-776c-mpj7-jm3r

Agradecimento
Agradecemos à Anthropic por ter comunicado essa questão ao Programa de divulgação de vulnerabilidades da AWS.

 

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.