ID do boletim: 2026-018-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 24/04/2026 9:15 PDT
 

Descrição:

O AWS Ops Wheel é uma ferramenta de código aberto que ajuda as equipes a fazer seleções aleatórias por meio de uma roda giratória virtual, implantada nas contas da AWS dos clientes via CloudFormation.

A vulnerabilidade CVE-2026-6911 refere-se a um problema em que a verificação da assinatura do token JWT não era aplicada na API v2. Isso poderia permitir que um agente não autenticado com acesso de rede ao endpoint do API Gateway gerasse um token e obtivesse acesso administrativo não autorizado à aplicação, incluindo a capacidade de ler, modificar e excluir todos os dados da aplicação em todos os locatários, bem como gerenciar contas de usuário do Cognito dentro do grupo de usuários da implantação.

A vulnerabilidade CVE-2026-6912 refere-se a um problema na configuração do Cognito User Pool v2, em que as permissões de gravação de atributos não estavam suficientemente restritas. Isso poderia permitir que um usuário autenticado modificasse seus próprios atributos de privilégios e obtivesse acesso com privilégios elevados dentro da aplicação, incluindo a capacidade de gerenciar contas de usuário do Cognito.

Versões afetadas: 

• Implantações do AWS Ops Wheel v2: PR #163 e anteriores

Resolução:

A CVE-2026-6911 foi abordada na PR #164 e a CVE-2026-6912, na PR #165. Os usuários devem fazer uma nova implantação para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Soluções alternativas:

Os clientes que não puderem fazer uma nova implantação imediatamente podem restringir o acesso à rede ao seu endpoint do API Gateway usando configurações do AWS WAF ou da VPC para limitar o acesso.

Referências:

• CVE-2026-6911
• CVE-2026-6912
• GHSA-v5vr-8w3c-37x2
• GHSA-qvfh-9cjw-8wwq

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.