告知ID: 2026-014-AWS 範囲: AWS コンテンツの種類: 重要 (注意が必要) 公開日: 2026/04/06 14:00 PM PDT説明:AWS上のResearch and Engineering Studio (RES)は、管理者が安全なクラウドベースの研究およびエンジニアリング環境を作成および管理するためのオープンソースのWebポータルです。AWS Research and Engineering Studio (RES)に関して、以下の問題が特定されました。- CVE-2026-5707: AWS Research and Engineering Studio (RES) バージョン 2025.03 から 2025.12.01 における、仮想デスクトップセッション名の処理におけるOSコマンドへの未処理の入力により、リモート認証されたアクターが、細工されたセッション名を介して、仮想デスクトップホスト上でrootとして任意のコマンドを実行できる可能性があります。- CVE-2026-5708: バージョン 2026.03 より前の AWS Research and Engineering Studio (RES) のセッション作成コンポーネントにおける、ユーザーが変更可能な属性の不適切な制御により、認証されたリモートユーザーが権限を昇格させ、細工されたAPIリクエストを介して、Virtual Desktop Hostインスタンスプロファイルの権限を継承し、他のAWSリソースおよびサービスと対話できる可能性があります。- CVE-2026-5709: AWS Research and Engineering Studio (RES) バージョン 2024.10 から 2025.12.01 における、FileBrowser APIへの未処理の入力により、リモート認証されたアクターが、FileBrowser機能を使用する際に、細工された入力を介して、クラスタマネージャーEC2インスタンス上で任意のコマンドを実行できる可能性があります。影響を受けるバージョン: <= 2025.12.01このAWSセキュリティ告知に関する最新かつ完全な情報については、以下の記事を参照してください。