Идентификатор бюллетеня: 2026-041-AWS Область применения: AWS Тип контента: Важно (требует внимания) Дата публикации: 06.10.2026 10:45 PDTОписание:AWS CDK (aws-cdk-lib) — это фреймворк с открытым исходным кодом для определения облачной инфраструктуры в виде кода и ее предоставления через AWS CloudFormation. Мы выявили CVE-2026-11417, проблему внедрения команд ОС в конвейере локальной упаковки NodejsFunction в aws-cdk-lib до версии 2.245.0 (2.246.0 для Windows), которая может позволить злоумышленнику, контролирующему значение одного или нескольких свойств упаковки (externalModules, define, loader, inject или esbuildArgs), выполнять произвольные команды на хосте, где работает инструментарий CDK, посредством внедренных метасимволов оболочки. Эта проблема требует, чтобы злоумышленник контролировал значение одного или нескольких затронутых свойств упаковки в приложении CDK.Затронутые версии: < 2.245.0 (для Windows, < 2.246.0)Пожалуйста, обратитесь к статье ниже для получения самой актуальной и полной информации, связанной с этим бюллетенем безопасности AWS.