CVE-2026-6912

Name of the Vulnerable Software and Affected Versions AWS Ops Wheel versões anteriores ao PR #165

Description A modificação inadequadamente controlada de atributos de objeto determinados dinamicamente na configuração do Cognito User Pool permite que usuários remotos autenticados escalem privilégios para administrador de implantação. Isso é realizado por meio de uma chamada de API 'UpdateUserAttributes' manipulada que define o atributo custom:deployment admin, permitindo o gerenciamento de contas de usuário do Cognito.

Recommendations Fazer a redeploy a partir do repositório atualizado e garantir que qualquer código derivado ou fork seja corrigido para incorporar as novas correções.