公告编号：2026-020-AWS 范围：AWS 内容类型：重要（需关注） 发布日期：2026 年 4 月 27 日 下午 1:15（太平洋夏令时）描述：QnABot on AWS 是一个开源解决方案，提供由 Amazon Lex、Amazon OpenSearch Service 驱动的多渠道、多语言对话界面，并可选集成 Amazon Bedrock。我们已发现漏洞 CVE-2026-7191：对静态 eval npm 包的误用可能导致已认证的管理员在履约 Lambda 执行上下文中执行任意代码。攻击者可通过内容设计器界面注入精心构造的条件链表达式，利用 JavaScript 原型链操作绕过预期的表达式沙箱。成功利用该漏洞可能直接访问后端资源，包括未通过常规管理界面暴露的 Lambda 环境变量、OpenSearch 索引、S3 对象和 DynamoDB 表。受影响版本：≤ 7.2.4有关此 AWS 安全公告的最新完整信息，请参阅下方文章。