PT-2026-54636 · Amazon · Aws-Cdk-Lib
Mostafa Ashraf
·
Publicado
2026-07-01
·
Atualizado
2026-07-01
·
CVE-2026-13760
CVSS v3.1
7.3
Alta
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
aws-cdk-lib versões anteriores a 2.260.0
Description
Existe uma injeção de comando de SO no pipeline de bundling Docker do NodejsFunction, especificamente no auxiliar OsCommand. Um agente que controle as strings de versão de dependência no arquivo package.json de um projeto pode executar comandos arbitrários no host que executa a toolchain do CDK através da injeção de metacaracteres de shell no auxiliar OsCommand. Isso ocorre durante o bundling baseado em Docker quando nodeModules são especificados.
Recommendations
Atualize para a versão 2.260.0.
Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Aws-Cdk-Lib