← volver
CVE-2026-11417

OS Command Injection in NodejsFunction Bundling in aws-cdk-lib

CVSS 7 HIGHEPSS 0.9%CWE-78
En resumen

Una vulnerabilidad en la herramienta de empaquetado NodeJS de AWS CDK permite que alguien que controle ciertas configuraciones ejecute comandos maliciosos en tu computadora durante la construcción de la aplicación. Esto es peligroso porque da acceso a tu sistema y datos sensibles.

Detalle técnico

Inyección de comando del sistema operativo mediante propiedades de empaquetado no sanitizadas (externalModules, define, loader, inject, esbuildArgs) en el pipeline local de NodejsFunction. El vector de ataque requiere que el actor controle la configuración de la aplicación CDK; metacaracteres de shell maliciosos en las propiedades afectadas se pasan de forma insegura a la ejecución del shell durante el tiempo de compilación. El impacto incluye ejecución de comando arbitrario en el host que ejecuta CDK con los privilegios del proceso CDK.

Resumen generado y traducido por IA a partir de la descripción oficial.
OS command injection in the NodejsFunction local bundling pipeline in aws-cdk-lib before 2.245.0 (2.246.0 on Windows) might allow an actor who controls the value of one or more bundling properties (externalModules, define, loader, inject, or esbuildArgs) to execute arbitrary commands on the host running the CDK toolchain via injected shell metacharacters. This issue requires the threat actor to control the value of one or more of the affected bundling properties in the CDK application. To remediate this issue, users should upgrade to aws-cdk-lib 2.245.0 (2.246.0 on Windows) or later.
CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Productos afectados
AWS · AWS Cloud Development Kit library
PoCs públicas encontradas1
githubgithub.com/HeshamASH/CVE-2026-11417-AWS-CDK-RCE0
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://aws.amazon.com/security/security-bulletins/2026-041-aws/https://github.com/aws/aws-cdk/releases/tag/v2.245.0https://github.com/aws/aws-cdk/security/advisories/GHSA-999r-qq7v-r334