公告编号：2026-014-AWS 范围：AWS 内容类型：重要（需关注） 发布日期：2026 年 4 月 6 日 下午 2:00（太平洋夏令时 PDT）描述：AWS 研究与工程工作室（Research and Engineering Studio，简称 RES）是一个开源的 Web 门户设计，供管理员创建和管理安全的云基研究与工程环境。我们已发现 AWS 研究与工程工作室（RES）存在以下问题：- CVE-2026-5707：在 AWS 研究与工程工作室（RES）版本 2025.03 至 2025.12.01 中，虚拟桌面会话名称处理过程中存在未清理的操作系统命令输入漏洞。该漏洞可能允许远程已认证的攻击者通过构造的会话名称，在虚拟桌面主机上以 root 权限执行任意命令。- CVE-2026-5708：在 AWS 研究与工程工作室（RES）版本 2026.03 之前，会话创建组件中对用户可修改属性的控制不当。该漏洞可能允许已认证的远程用户提升权限，接管虚拟桌面主机实例配置文件权限，并通过构造的 API 请求与其他 AWS 资源和服务进行交互。- CVE-2026-5709：在 AWS 研究与工程工作室（RES）版本 2024.10 至 2025.12.01 中，FileBrowser API 存在未清理的输入漏洞。当用户使用 FileBrowser 功能时，该漏洞可能允许远程已认证的攻击者通过构造的输入在 cluster-manager EC2 实例上执行任意命令。受影响版本：≤ 2025.12.01有关本 AWS 安全公告的最新完整信息，请参阅下方文章。