Bulletin ID: 2026-041-AWS スコープ: AWS コンテンツタイプ: 重要 (注意が必要) 公開日: 2026年10月6日 午前10時45分 PDT説明:AWS CDK (aws-cdk-lib) は、クラウドインフラストラクチャをコードで定義し、AWS CloudFormation を介してプロビジョニングするためのオープンソースフレームワークです。aws-cdk-lib の 2.245.0 より前 (Windows では 2.246.0) の NodejsFunction ローカルバンドルパイプラインで、OS コマンドインジェクションの問題である CVE-2026-11417 を特定しました。この問題により、バンドルプロパティ (externalModules, define, loader, inject, または esbuildArgs) の 1 つ以上の値を制御できるアクターが、CDK ツールチェーンを実行しているホスト上で任意のコマンドを実行できる可能性があります。この問題は、アクターが CDK アプリケーションで影響を受けるバンドルプロパティの 1 つ以上の値を制御する必要があることを前提としています。影響を受けるバージョン: 2.245.0 未満 (Windows では 2.246.0 未満)この AWS セキュリティーブレティンに関する最新かつ完全な情報は、以下の記事を参照してください。