告知ID: 2026-020-AWS 範囲: AWS コンテンツの種類: 重要 (注意が必要) 公開日: 2026/04/27 13:15 PM PDT説明:AWS上のQnABotは、Amazon Lex、Amazon OpenSearch Service、およびオプションでAmazon Bedrockを搭載した、マルチチャネル、多言語の会話型インターフェースを提供するオープンソースソリューションです。CVE-2026-7191を特定しました。これは、static-eval npmパッケージの不適切な使用により、認証された管理者がフルフィルメントLambda実行コンテキスト内で任意のコードを実行できる脆弱性です。Content Designerインターフェースを介して細工された条件付きチェーン式を注入することにより、管理者アクセス権を持つ攻撃者は、JavaScriptプロトタイプ操作を通じて意図された式サンドボックスをバイパスできます。 攻撃が成功した場合、通常の管理インターフェースでは公開されていない、Lambda環境変数、OpenSearchインデックス、S3オブジェクト、DynamoDBテーブルなどのバックエンドリソースへの直接アクセスが付与される可能性があります。影響を受けるバージョン: <=7.2.4このAWSセキュリティ告知に関連する最新かつ完全な情報については、以下の記事を参照してください。