CVE-2026-13760: injeção de comando do sistema operacional no empacotamento Docker do NodeJSFunction em aws-cdk-lib
ID do boletim: 2026-050-AWS
Escopo: AWS
Tipo de conteúdo: importante (requer atenção)
Data da publicação: 07/01/2026 12h15 PDT
Descrição:
O AWS CDK (aws-cdk-lib) é um framework de código aberto para definir infraestrutura de nuvem no código e provisioná-la por meio do AWS CloudFormation. Identificamos o CVE-2026-13760, um problema de injeção de comando do sistema operacional no pipeline de empacotamento Docker do NodeJSFunction em aws-cdk-lib anterior à versão 2.260.0, o que poderia permitir que um invasor que controla strings de versão de dependência no arquivo package.json de um projeto executasse comandos arbitrários no host que executa a cadeia de ferramentas CDK por meio de metacaracteres de shell injetados no auxiliar OsCommand. Este problema exige que o invasor controle o conteúdo de uma string de versão de dependência do package.json que é processada durante o empacotamento baseado em Docker com o nodeModules especificado.
Versões afetadas: < 2.260.0
Resolução:
Este problema foi resolvido na versão 2.260.0 do aws-cdk-lib. Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.
Soluções alternativas:
Certifique-se de que os módulos listados na opção de empacotamento do nodeModules, e as strings de versão declaradas para eles no package.json do seu projeto, bem como as versões dos pacotes instalados correspondentes, venham somente de fontes confiáveis. Usar o empacotamento local em vez do empacotamento baseado em Docker evita o caminho do código afetado. A atualização para uma versão fixa é a correção recomendada.
Referências:
Reconhecimento:
Gostaríamos de agradecer ao relator externo Mostafa Ashraf, que colaborou nesta questão por meio do Programa de Divulgação de Vulnerabilidades da AWS (processo coordenado de divulgação de vulnerabilidades).
Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação sobre segurança.