Unknown · Qnabot On Aws · CVE-2026-7191
**Nome do Software Vulnerável e Versões Afetadas**
qnabot-on-aws versões anteriores a 7.3.0
**Descrição**
O uso inadequado do pacote npm static-eval permite que um administrador autenticado execute código arbitrário dentro do contexto de execução do Lambda de atendimento. Isso é feito injetando uma expressão de encadeamento condicional manipulada através da interface do Content Designer, que ignora o sandbox de expressões por meio da manipulação de protótipo do JavaScript. A exploração bem-sucedida pode conceder acesso direto a recursos de backend, incluindo variáveis de ambiente do Lambda, índices do OpenSearch, objetos do S3 e tabelas do DynamoDB, que normalmente não são expostos por meio de interfaces administrativas.
**Recomendações**
Atualize para a versão 7.3.0 ou superior.