CVE-2026-7191

Nome do Software Vulnerável e Versões Afetadas qnabot-on-aws versões anteriores a 7.3.0

Descrição O uso inadequado do pacote npm static-eval permite que um administrador autenticado execute código arbitrário dentro do contexto de execução do Lambda de atendimento. Isso é feito injetando uma expressão de encadeamento condicional manipulada através da interface do Content Designer, que ignora o sandbox de expressões por meio da manipulação de protótipo do JavaScript. A exploração bem-sucedida pode conceder acesso direto a recursos de backend, incluindo variáveis de ambiente do Lambda, índices do OpenSearch, objetos do S3 e tabelas do DynamoDB, que normalmente não são expostos por meio de interfaces administrativas.

Recomendações Atualize para a versão 7.3.0 ou superior.