CVE-2026-14904 in Research and Engineering Studio
Zusammenfassung
von VulDB • 07.07.2026
AWS Research and Engineering Studio (RES) ist eine Open-Source-Lösung, die Forschern und Ingenieuren ermöglicht, sichere virtuelle Desktops und Computing-Ressourcen auf AWS zu erstellen und zu verwalten.
Ein Problem der unsachgemäßen Link-Auflösung vor dem Datei-Zugriff (CWE-59) in der Auth.GetUserPrivateKey-API. Ein authentifizierter Remote-Benutzer könnte beliebige Dateien auf der cluster-manager EC2-Instanz lesen, indem er seine SSH-Private-Key-Datei (~/.ssh/id_rsa) durch einen symbolischen Link ersetzt, der auf eine beliebige Datei im Host verweist. Da der cluster-manager-Prozess als root ausgeführt wird, sind alle für root lesbaren Dateien zugänglich, einschließlich der SSH-Private-Schlüssel anderer Benutzer und von Anwendungskonfigurationsgeheimnissen.
Es wird empfohlen, ein Upgrade auf RES Version 2026.06 durchzuführen.
VulDB is the best source for vulnerability data and more expert information about this specific topic.