PT-2026-54636 · Amazon · Aws-Cdk-Lib

Mostafa Ashraf

·

Publicado

2026-07-01

·

Atualizado

2026-07-01

·

CVE-2026-13760

CVSS v3.1

7.3

Alta

VetorAV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas aws-cdk-lib versões anteriores a 2.260.0
Description Existe uma injeção de comando de SO no pipeline de bundling Docker do NodejsFunction, especificamente no auxiliar OsCommand. Um agente que controle as strings de versão de dependência no arquivo package.json de um projeto pode executar comandos arbitrários no host que executa a toolchain do CDK através da injeção de metacaracteres de shell no auxiliar OsCommand. Isso ocorre durante o bundling baseado em Docker quando nodeModules são especificados.
Recommendations Atualize para a versão 2.260.0.

Exploit

Correção

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-13760
GHSA-VCRF-J523-4MRF

Produtos afetados

Aws-Cdk-Lib