ID do boletim: 2026-038-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data da publicação: 02/06/2026 12:15 PDT

Descrição:

O Graph Explorer é uma aplicação de código aberto que permite a visualização e a exploração de dados em bancos de dados de grafos, como o Amazon Neptune. Identificamos a vulnerabilidade CVE-2026-10584, na qual, em determinadas circunstâncias, o servidor recorre silenciosamente ao protocolo HTTP quando o HTTPS está habilitado, mas os certificados não estão disponíveis, resultando na transmissão de informações confidenciais em texto simples.

Versões afetadas: >= 1.1.0 E < 3.0.1

Resolução:

Esse problema foi resolvido na versão 3.0.1 do Graph Explorer. Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Soluções alternativas:

Se você não puder fazer o upgrade imediatamente, tome as seguintes medidas:

• Verifique se sua implantação está realmente sendo servida por HTTPS, conferindo o protocolo no navegador ou via curl
• Certifique-se de que o HOST esteja definido no seu comando docker run, para que os certificados sejam gerados corretamente
• Evite usar caminhos de diretório de configuração diferentes dos caminhos padrão ao usar a geração automática de certificados autoassinados.

Referências:

• CVE-2026-10584
• GHSA-r6vr-4rxc-x6q4

Agradecimento:

Gostaríamos de agradecer a Eduardo Caro por colaborar na abordagem desse problema por meio do processo coordenado de divulgação de vulnerabilidades.

Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação sobre segurança.