佈告欄 ID：AWS-2025-031
範圍： AWS
內容類型： 資訊
發布日期：2025 年 12 月 15 日上午 11:45 (太平洋標準時間)

描述：

AWS 上的 Harmonix 是一套開放原始碼參考架構，亦是延伸自 CNCF Backstage 專案的開發者平台實作方案。我們確認了 CVE-2025-14503 漏洞：AWS 上的 Harmonix 框架中存在過度開放的 IAM 信任政策，可能導致已經過驗證的使用者透過擔任角色提升權限。EKS 環境佈建角色的範例程式碼被設定為信任帳戶根主體，這可能導致任何具備 sts:AssumeRole 權限的帳戶主體，得以擔任具備管理權限的該角色。

受影響的版本：v0.3.0 至 v0.4.1

解決方案：

此問題已在 AWS 上的 Harmonix 版本 0.4.2 中得到解決。建議您升級至最新版本，同時確保修補任何分支或衍生程式碼，以包含新的修正。

變通方法：

若您無法立即升級至 0.4.2 或更新版本，我們建議檢閱並限制您 AWS 上 Harmonix 部署中的 IAM 信任政策，尤其需聚焦於 EKS 環境佈建角色，確保其不信任帳戶根主體。範例程式碼中的佈建角色可於 IAM 主控台找到，其名稱符合以下格式：

    *-eks-*-provisioning-role

可檢閱並監控 CloudTrail 事件中名為「AssumeRole」的事件，重點查看 requestParameters.roleArn 欄位包含該佈建角色 ARN 的記錄

參考資料：

• AWS 上的 Harmonix 版本 0.4.2
• CVE-2025-14503
• GHSA-qm86-gqrq-mqcw

致謝：

我們誠摯感謝資安研究員 r00tdaddy 透過協調的漏洞披露程序，與我們協作解決此問題。
 

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。