公告 ID：2026-038-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 6 月 2 日中午 12:15 (太平洋夏令時間)

描述：

Graph Explorer 是一款開放原始碼應用程式，用於視覺化與探索圖形資料庫 (例如 Amazon Neptune) 中的資料。我們發現了編號為 CVE-2026-10584 的漏洞：在特定情況下，當啟用 HTTPS 但憑證無法使用時，伺服器會靜默地降級回 HTTP，導致敏感資訊以明文方式傳輸。

受影響版本：>= 1.1.0 以及 < 3.0.1

解決方案：

此問題已在 Graph Explorer 版本 3.0.1 中得以解決。建議您升級至最新版本，並確保所有分支或衍生程式碼皆已套用修補程式，以納入最新修正。

變通方法：

如果您無法立即升級，請採取以下動作：

• 透過瀏覽器或 curl 檢查連線所使用的協定，以確認您的部署環境確實是透過 HTTPS 提供服務
• 確保在 docker run 指令中設定 HOST 參數，以便正確產生憑證
• 若仰賴自動產生的自我簽署憑證，請避免使用非預設的組態目錄路徑

參考資料：

• CVE-2026-10584
• GHSA-r6vr-4rxc-x6q4

致謝：

我們感謝 Eduardo Caro 透過協同漏洞揭露流程，與我們共同處理此問題。

如有任何安全問題或疑慮，請傳送電子郵件至 aws-security@amazon.com。