CVE-2026-7191 in qnabot-on-awsinformação

Sumário

de VulDB • 05/06/2026

O uso inadequado do pacote npm static-eval na solução de código aberto qnabot-on-aws, versões 7.2.4 e anteriores, pode permitir que um administrador autenticado execute código arbitrário no contexto de execução do Lambda de fulfillment, injetando uma expressão de encadeamento condicional elaborada por meio da interface Content Designer. Isso contorna a sandbox de expressão pretendida por meio da manipulação do protótipo do JavaScript. Isso pode conceder acesso direto a recursos de back-end (variáveis de ambiente do Lambda, índices do OpenSearch, objetos do S3, tabelas do DynamoDB) que não são expostos por meio das interfaces administrativas normais.

Recomenda-se atualizar para a versão 7.3.0 ou superior.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

AMZN

Reservar

27/04/2026

Divulgação

28/04/2026

Moderação

aceite

Entrada

VDB-359881

CPE

pronto

CWE

CWE-94 (confirmado)

CVSS

7.2 (CNA)

EPSS

0.00102

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7191
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7191
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7191/

◂ Voltar Visão Geral Próximo ▸

Do you need the next level of professionalism?

Upgrade your account now!