公告 ID：2026-011-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 3 月 31 日上午 10:15 (太平洋標準時間)

描述：

AWS Common Runtime 程式庫由多個 AWS SDK 用於與事件串流服務 (例如 Kinesis、Transcribe) 進行通訊。我們已確認 CVE-2026-5190 漏洞。在 0.6.0 版本之前的 AWS Common Runtime 事件串流解碼器元件中存在一個漏洞，可能讓操作伺服器的第三方造成記憶體損毀，進而在處理惡意建構的事件串流訊息的用戶端應用程式上執行任意程式碼。

受影響版本：

• aws-c-event-stream < 0.6.0 以及以下暴露事件串流功能的高階程式庫
• aws-iot-device-sdk-cpp-v2 < 1.42.1
• aws-iot-device-sdk-java-v2 < 1.30.1
• aws-iot-device-sdk-python-v2 < 1.28.2
• aws-iot-device-sdk-js-v2 < 1.25.1
• aws-sdk-swift < 1.6.70
• aws-sdk-cpp < 1.11.764

解決方案：

此問題已在以下版本中得以解決：aws-c-event-stream 版本 0.6.0、aws-iot-device-sdk-cpp-v2 版本 1.42.1、aws-iot-device-sdk-java-v2 版本 1.30.1、aws-iot-device-sdk-python-v2 版本 1.28.2、aws-iot-device-sdk-js-v2 版本 1.25.1、aws-sdk-swift 1.6.70，以及 aws-sdk-cpp 版本 1.11.764。

建議您升級至最新版本，同時確保對任何分支或衍生程式碼進行了修補，以包含新的修正。

變通方法：

此漏洞僅在用戶端使用事件串流通訊協定與第三方操作的伺服器進行通訊時才有可能發生。為避免此問題，請確保所通訊的伺服器是可信任的。AWS 伺服器不會觸發此問題。

參考資料：

• CVE-2026-5190
• GHSA-xvjw-fjq5-68hf

我們誠摯感謝 1seal.org 透過協調的漏洞披露程序，與我們協作解決此問題。

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。