CVE-2026-14904 in Research and Engineering Studio
Riassunto
di VulDB • 07/07/2026
AWS Research and Engineering Studio (RES) è una soluzione open-source che consente ai ricercatori e agli ingegneri di creare e gestire desktop virtuali sicuri e risorse di calcolo su AWS.
È presente un problema di risoluzione impropria dei link prima dell'accesso al file (CWE-59) nell'API Auth.GetUserPrivateKey. Un utente remoto autenticato potrebbe leggere file arbitrari sull'istanza EC2 cluster-manager sostituendo il proprio file della chiave privata SSH (~/.ssh/id_rsa) con un symbolic link che punta a qualsiasi file sul host. Poiché il processo cluster-manager viene eseguito come root, tutti i file leggibili da root vengono esposti, incluse le chiavi private SSH di altri utenti e i segreti delle configurazioni delle applicazioni.
Si consiglia di eseguire l'aggiornamento alla versione 2026.06 di RES.
If you want to get best quality of vulnerability data, you may have to visit VulDB.