跳至主要內容

CVE-2026-13760 - aws-cdk-lib 中 NodejsFunction Docker 綁定的作業系統命令注入

公告 ID:2026-050-AWS
範圍:AWS
內容類型:重要 (需要注意)
發布日期:07/01/2026 12:15 PM PDT

描述:

AWS CDK (aws-cdk-lib) 是一套開放原始碼架構,用於以程式碼定義雲端基礎結構,並透過 AWS CloudFormation 進行佈建。我們已發現 CVE-2026-13760,這是 aws-cdk-lib 2.260.0 之前的版本中 NodejsFunction Docker 綁定管道中的作業系統命令注入問題,該問題可能允許控制專案 package.json 檔案中相依項版本字串的行為者透過 OsCommand 助手的注入 Shell 中繼字元,在執行 CDK 工具鏈的主機上執行任意命令。此問題要求行為者控制 package.json 相應項版本字串的內容 (而該字串在 Docker 型綁定過程中,經過使用指定的 nodeModules 處理)。

受影響版本:< 2.260.0

解決方案:

此問題已在 aws-cdk-lib 2.260.0 版中得以解決。建議您升級至最新版本,並確保所有分支或衍生程式碼皆已套用修補程式,以納入最新修正。

變通方法:

確保 NodeModules 綁定選項中列出的模組、專案 package.json 中針對這些模組宣告的版本字串,以及對應的已安裝封裝的版本,均僅來自受信任的來源。使用本機綁定而不是 Docker 型綁定,可避免受影響的程式碼路徑。我們建議的修補方式是升級至已修正版本。

參考資料:

致謝:

我們要感謝外部通報者 Mostafa Ashraf 透過 AWS 漏洞披露計畫 (協調式漏洞披露程序) 就此問題與我們合作。


如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com