ID do boletim: 2026-020-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data da publicação: 27/04/2026 13:15 PDT
 

Descrição:

O QnABot na AWS é uma solução de código aberto que oferece uma interface conversacional multicanal e multilíngue, desenvolvida com o Amazon Lex, o Amazon OpenSearch Service e, opcionalmente, o Amazon Bedrock.

Identificamos o CVE-2026-7191, em que o uso indevido do pacote npm static-eval pode permitir que um administrador autenticado execute código arbitrário no contexto de execução da função Lambda de atendimento. Ao injetar uma expressão de encadeamento condicional elaborada por meio da interface do Content Designer, um usuário com acesso de administrador poderia driblar a sandbox de expressões previstas por meio da manipulação de protótipos em JavaScript. Se a exploração for realizada com êxito, poderá conceder acesso direto a recursos de backend, incluindo variáveis de ambiente do Lambda, índices do OpenSearch, objetos do S3 e tabelas do DynamoDB, que não são expostos por meio das interfaces administrativas normais.

Versões afetadas: <=7.2.4

Resolução:

Esse problema já foi resolvido na versão 7.3.0 do QNabot na AWS. A dependência de static-eval foi removida e substituída por um avaliador de expressões personalizado e limitado. Recomendamos fazer upgrade para uma versão superior à v7.2.4 e garantir que qualquer código derivado ou bifurcado receba os patches necessários para incorporar as novas correções.

Soluções alternativas:

Não há solução alternativa para esse problema. Faça upgrade para a versão 7.3.0 ou posterior.

Referências:

• CVE-2026-7191
• GHSA-h47x-8hgm-m83h

Agradecimentos:

Gostaríamos de agradecer à Endor Labs por divulgar esse problema de maneira responsável para a AWS.

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.