공지 ID: 2026-020-AWS 범위: AWS 내용 유형: 중요 (주의 필요) 게시일: 2026년 4월 27일 오후 1시 15분 PDT설명:AWS의 QnABot은 Amazon Lex, Amazon OpenSearch Service, 그리고 선택적으로 Amazon Bedrock을 기반으로 하는 다중 채널, 다국어 대화형 인터페이스를 제공하는 오픈 소스 솔루션입니다.저희는 CVE-2026-7191을 확인했습니다. 이는 static-eval npm 패키지의 부적절한 사용으로 인해 인증된 관리자가 fulfillment Lambda 실행 컨텍스트 내에서 임의의 코드를 실행할 수 있게 하는 취약점입니다. Content Designer 인터페이스를 통해 조작된 조건부 체이닝 표현식을 주입함으로써, 관리자 권한을 가진 공격자는 JavaScript 프로토타입 조작을 통해 의도된 표현식 샌드박스를 우회할 수 있습니다. 성공적인 악용은 일반적인 관리 인터페이스를 통해 노출되지 않는 Lambda 환경 변수, OpenSearch 인덱스, S3 객체, DynamoDB 테이블을 포함한 백엔드 리소스에 직접 접근할 수 있게 할 수 있습니다.영향을 받는 버전: <=7.2.4이 AWS 보안 공지와 관련된 최신 및 완전한 정보는 아래 기사를 참조하십시오.