[TLP:CLEAR]
bollettino di sicurezza 99/2026
Vulnerabilità in AWS Research and Engineering Studio
06-04-2026
rce, privilege escalation, aws, cloud, input validation
descrizione
Il bollettino AWS‑2026‑014 documenta tre vulnerabilità in AWS Research and Engineering Studio: CVE‑2026‑5707 (RCE tramite input non sanitizzato nel nome sessione virtual desktop), CVE‑2026‑5708 (privilege escalation tramite API e instance profile), CVE‑2026‑5709 (RCE tramite FileBrowser API). Tutte le vulnerabilità richiedono autenticazione e permettono esecuzione di comandi arbitrari o escalation di privilegi su host e risorse cloud AWS. Nessuna delle vulnerabilità è segnalata come zero-day.note
Le vulnerabilità impattano tutte le versioni di AWS Research and Engineering Studio fino alla 2025.12.01 inclusa. L'exploitabilità richiede autenticazione, ma consente a utenti malevoli di ottenere privilegi root su host virtual desktop (CVE‑2026‑5707), accedere a privilegi cloud tramite instance profile (CVE‑2026‑5708) e ottenere esecuzione di comandi arbitrari sul cluster manager EC2 (CVE‑2026‑5709). AWS ha rilasciato la versione 2026.03 che risolve tutte le problematiche. Sono disponibili patch e istruzioni di mitigazione manuale per chi non può aggiornare immediatamente. Si raccomanda l'aggiornamento prioritario e la verifica di fork/derivazioni. Monitorare accessi anomali e attività privilegiate su host e risorse cloud correlate.CVE
| CVE | CVSS-3.1 | CVSS-4.0 | EPSS |
|---|---|---|---|
| CVE-2026-5707 | 9.0 | 9.0 | 0.369% | 58.80% |
| CVE-2026-5708 | 9.0 | 9.0 | 0.121% | 31.06% |
| CVE-2026-5709 | 9.0 | 8.0 | 0.103% | 28.20% |
tipi di attacco
| CWE | descrizione |
|---|---|
| CWE-78 | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') |
| CWE-915 | Improperly Controlled Modification of Dynamically-Determined Object Attributes |
prodotti impattati
| vendor | prodotto & versioni |
|---|---|
| AWS | research and engineering studio (res)
|