公告 ID：2026-041-AWS 范围：AWS 内容类型：重要（需关注） 发布日期：2026 年 6 月 10 日 上午 10:45（太平洋夏令时） 描述： AWS CDK（aws-cdk-lib）是一个开源框架，用于以代码形式定义云基础设施并通过 AWS CloudFormation 进行配置。我们发现了 CVE-2026-11417，这是一个存在于 aws-cdk-lib 中 NodejsFunction 本地打包管道中的操作系统命令注入漏洞，影响版本早于 2.245.0（Windows 上为早于 2.246.0）。该漏洞可能允许控制一个或多个打包属性（externalModules、define、loader、inject 或 esbuildArgs）值的攻击者，通过注入的 shell 元字符在运行 CDK 工具链的主机上执行任意命令。此漏洞要求攻击者能够控制 CDK 应用程序中一个或多个受影响的打包属性的值。 受影响版本：< 2.245.0（在 Windows 上，< 2.246.0） 请参阅下方文章，以获取与此 AWS 安全公告相关的最最新且完整的信息。