公告 ID：2026-041-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 6 月 10 日上午 10:45 (太平洋夏令時間)

描述：

AWS CDK (aws-cdk-lib) 是一套開放原始碼架構，用於以程式碼定義雲端基礎結構，並透過 AWS CloudFormation 進行佈建。我們發現了編號為 CVE-2026-11417 的漏洞，該漏洞存在於 aws-cdk-lib 2.245.0 版以前 (Windows 平台為 2.246.0 版以前) 的 NodejsFunction 本機打包流程中，屬於作業系統命令注入問題。攻擊者若能控制受影響的打包屬性 (externalModules、define、loader、inject 或 esbuildArgs) 的其中一個或多個值，即可透過注入 Shell 特殊字元，在執行 CDK 工具鏈的主機上執行任意命令。此問題需要攻擊者能夠控制 CDK 應用程式中上述受影響打包屬性的值。

受影響的版本：< 2.245.0 (Windows 平台為低於 2.246.0)

解決方案：

此問題已在 aws-cdk-lib 2.245.0 版 (Windows 平台為 2.246.0 版) 中得以解決。建議您升級至最新版本，並確保所有分支或衍生程式碼皆已套用修補程式，以納入最新修正。

變通方法：

確保傳遞給 NodejsFunction 打包屬性的值僅來自受信任的來源，並稽核設定這些屬性的第三方建構體與拉取請求升級至已修正版本是建議的修補方式。

參考資料：

• CVE-2026-11417
• GHSA-999r-qq7v-r334

致謝：

我們要感謝外部通報者 Hesham Ashraf 透過 AWS 漏洞披露計畫 (協調式漏洞披露程序) 就此問題與我們合作。

如有任何安全問題或疑慮，請傳送電子郵件至 aws-security@amazon.com。