CVE-2026-14904 in Research and Engineering Studioالمعلومات

الملخص

بحسب VulDB • 07/07/2026

تُعد بيئة أبحاث وهندسة أمازون ويب سيرفيسز (AWS Research and Engineering Studio - RES) حلاً مفتوح المصدر يمكّن الباحثين والمهندسين من إنشاء وإدارة أجهزة سطح المكتب الافتراضية الآمنة وموارد الحوسبة على منصة AWS.

ثغرة في حل الروابط بشكل غير صحيح قبل الوصول إلى الملف (CWE-59) موجودة في واجهة برمجة التطبيقات Auth.GetUserPrivateKey. يمكن لمستخدم عندي مُصادق عليه قراءة ملفات عشوائية على مثيل EC2 الخاص بمدير العنقود (cluster-manager) من خلال استبدال ملف المفتاح الخاص لـ SSH (~/.ssh/id_rsa) برابط رمزي يستهدف أي ملف على المضيف. ونظراً لأن عملية مدير العنقود تعمل بصلاحيات الجذر (root)، فإن جميع الملفات التي يمكن للجذر قراءتها تصبح مكشوفة، بما في ذلك المفاتيح الخاصة لـ SSH للمستخدمين الآخرين والأسرار المتعلقة بإعدادات التطبيقات.

يُوصى بالترقية إلى إصدار RES 2026.06.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

AMZN

حجز

06/07/2026

إفشاء

07/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-376653

EPSS

0.00381

KEV

لا

النشاطات

منخفض

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!