게시판 ID: AWS-2025-031 범위: AWS 콘텐츠 유형: 정보 제공 게시 날짜: 2025년 12월 15일 오전 11:45 PST설명:Harmonix on AWS는 CNCF Backstage 프로젝트를 확장하는 개발자 플랫폼의 오픈 소스 참조 아키텍처 및 구현입니다. Harmonix on AWS 프레임워크의 과도하게 허용적인 IAM 신뢰 정책이 인증된 사용자가 역할 위임을 통해 권한을 상승시킬 수 있도록 허용할 수 있는 CVE-2025-14503을 확인했습니다. EKS 환경 프로비저닝 역할에 대한 샘플 코드는 계정 루트 주체를 신뢰하도록 구성되어 있어, sts:AssumeRole 권한이 있는 모든 계정 주체가 관리자 권한으로 역할을 위임할 수 있습니다.해결:v0.3.0 ~ v0.4.1