公告 ID：2026-014-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 4 月 6 日下午 2:00 (太平洋標準時間)

描述：

AWS 上的研究與工程工作室 (RES) 是開放原始碼的網頁入口網站，專為管理員設計，用來建立與管理安全的雲端研究與工程環境。我們已確認 AWS 研究與工程工作室 (RES) 的以下問題：

CVE-2026-5707：在 AWS 研究與工程工作室 (RES) 版本 2025.03 至 2025.12.01 中，虛擬桌面工作階段名稱處理功能因未經清理的輸入而導致 OS 命令注入漏洞。遠端已驗證的攻擊者可透過惡意建構的工作階段名稱，在虛擬桌面主機上以 root 身分執行任意命令。

CVE-2026-5708：在 2026.03 之前的 AWS 研究與工程工作室 (RES) 版本中，工作階段建立元件中存在以下問題：對於使用者可修改的屬性控制不當。已驗證的遠端使用者可藉由特製的 API 請求提升權限，取得虛擬桌面主機的執行個體設定檔許可，並與其他 AWS 資源及服務進行互動。

CVE-2026-5709：在 AWS 研究與工程工作室 (RES) 版本 2024.10 至 2025.12.01 中，FileBrowser API 因未經清理的輸入而存在漏洞。遠端已驗證的攻擊者可透過使用 FileBrowser 功能時輸入惡意建構的資料，在叢集管理員 EC2 執行個體上執行任意命令。

受影響版本：<= 2025.12.01

解決方案：

此問題已在 RES 2026.03 版本中得到解決。建議您升級至最新版本，同時確保對任何分支或衍生程式碼進行了修補，以包含新的修正。

變通方法
使用者可依照以下緩解說明，對現有的 RES 環境套用修補程式：[2025.12.01 及更早版本] 防止透過工作階段名稱注入命令、[2025.12.01 及更早版本] 透過執行個體設定檔提升權限，或者 [2025.12.01 及更早版本] 透過 FileBrow 注入命令。

 

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。