公告 ID：2026-020-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 4 月 27 日下午 1:15 (太平洋夏令時間)
 

描述：

QnABot on AWS 是一套開放原始碼解決方案，提供由 Amazon Lex、Amazon OpenSearch Service 以及選用的 Amazon Bedrock 所支援的多管道、多語言對話介面。

我們發現了 CVE-2026-7191，不當使用 static-eval npm 套件可能會讓經過身分驗證的管理員在履行 Lambda 執行環境中執行任意程式碼。擁有管理員存取權限的行為者，可透過 Content Designer 介面注入特製的條件鏈結表達式，藉由 JavaScript 原型操作來繞過預期的運算式沙盒。成功利用此漏洞後，即可直接存取未透過一般管理介面公開的後端資源，包括 Lambda 環境變數、OpenSearch 索引、S3 物件與 DynamoDB 資料表。

受影響版本：<=7.2.4

解決方案：

此問題已在 QnABot on AWS 7.3.0 版中解決。static-eval 相依套件已移除，並替換為受限的自訂表達式評估器。建議升級至高於 v7.2.4 的版本，並確保已修補任何分支或衍生程式碼，納入新的修正檔。

變通方法：

此問題沒有變通方法。請升級至 7.3.0 或更新版本。

參考資料：

• CVE-2026-7191
• GHSA-h47x-8hgm-m83h

致謝：

誠摯感謝 Endor Labs 向 AWS 負責任地揭露此問題。

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。