Идентификатор бюллетеня: 2026-020-AWS Область действия: AWS Тип контента: Важный (требует внимания) Дата публикации: 2026/04/27 13:15 PM PDTОписание:QnABot на AWS - это решение с открытым исходным кодом, которое предоставляет многоканальный, многоязычный интерфейс для общения на основе Amazon Lex, Amazon OpenSearch Service и, опционально, Amazon Bedrock.Мы выявили CVE-2026-7191, где неправильное использование npm-пакета static-eval может позволить аутентифицированному администратору выполнять произвольный код в контексте выполнения Lambda. Введя созданное выражение условной цепочки через интерфейс Content Designer, злоумышленник с правами администратора может обойти предполагаемую песочницу выражений посредством манипулирования прототипом JavaScript. Успешная эксплуатация может предоставить прямой доступ к внутренним ресурсам, включая переменные среды Lambda, индексы OpenSearch, объекты S3 и таблицы DynamoDB, которые не предоставляются через обычные административные интерфейсы.Затронутые версии: <=7.2.4Пожалуйста, обратитесь к статье ниже для получения самой актуальной и полной информации, относящейся к этому бюллетеню безопасности AWS.