← voltar
CVE-2026-11417

OS Command Injection in NodejsFunction Bundling in aws-cdk-lib

CVSS 7 HIGHEPSS 0.9%CWE-78
Em resumo

Uma falha na ferramenta de empacotamento NodeJS do AWS CDK permite que alguém que controle certas configurações execute comandos maliciosos no seu computador durante a construção da aplicação. Isso é perigoso porque dá acesso ao seu sistema e aos dados sensíveis.

Detalhe técnico

Injeção de comando do sistema operacional através de propriedades de empacotamento não sanitizadas (externalModules, define, loader, inject, esbuildArgs) no pipeline local de NodejsFunction. O vetor de ataque requer que o ator controle a configuração da aplicação CDK; metacaracteres de shell maliciosos nas propriedades afetadas são passados de forma insegura para execução de shell durante o tempo de construção. O impacto inclui execução de comando arbitrário no host executando o CDK com os privilégios do processo CDK.

Resumo gerado e traduzido por IA a partir da descrição oficial.
OS command injection in the NodejsFunction local bundling pipeline in aws-cdk-lib before 2.245.0 (2.246.0 on Windows) might allow an actor who controls the value of one or more bundling properties (externalModules, define, loader, inject, or esbuildArgs) to execute arbitrary commands on the host running the CDK toolchain via injected shell metacharacters. This issue requires the threat actor to control the value of one or more of the affected bundling properties in the CDK application. To remediate this issue, users should upgrade to aws-cdk-lib 2.245.0 (2.246.0 on Windows) or later.
CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
AWS · AWS Cloud Development Kit library

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://aws.amazon.com/security/security-bulletins/2026-041-aws/https://github.com/aws/aws-cdk/releases/tag/v2.245.0https://github.com/aws/aws-cdk/security/advisories/GHSA-999r-qq7v-r334