公告 ID：2026-018-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 4 月 24 日上午 9:15 (太平洋夏令時間)
 

描述：

AWS Ops Wheel 是開放原始碼工具，可透過 CloudFormation 部署至客戶的 AWS 帳戶，協助團隊利用虛擬轉盤隨機抽選。

CVE-2026-6911 涉及 v2 API 未強制執行 JWT 權杖簽章驗證的問題。此問題可能讓具備 API Gateway 端點網路存取權限且未經身分驗證的行為者，透過偽造權杖取得非預期的應用程式管理員存取權限，包括讀取、修改及刪除所有租戶的應用程式資料，以及管理部署環境使用者集區中的 Cognito 使用者帳戶。

CVE-2026-6912 涉及 v2 Cognito 使用者集區組態中屬性寫入權限限制不足的問題。這可能讓經過身分驗證的使用者修改自身的特權屬性，藉此提高在應用程式內的存取權限，包括管理 Cognito 使用者帳戶的能力。

受影響版本：

• AWS Ops Wheel v2 部署版本 PR #163 與更早版本

解決方案：

CVE-2026-6911 已在 PR #164 中解決，而 CVE-2026-6912 已在 PR #165 中解決。使用者應從最新版本重新部署，並確保已修補任何分支或衍生程式碼，納入新的修正檔。

變通方法：

無法立即重新部署的客戶可使用 AWS WAF 或 VPC 組態來限制其 API Gateway 端點的網路存取。

參考資料：

• CVE-2026-6911
• CVE-2026-6912
• GHSA-v5vr-8w3c-37x2
• GHSA-qvfh-9cjw-8wwq

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。