AWS RES 多个远程代码执行与权限提升漏洞 (CVE-2026-5707/5708/5709)

漏洞总结：AWS Research and Engineering Studio (RES) 安全漏洞 漏洞概述 AWS Research and Engineering Studio (RES) 存在多个安全漏洞，主要包括： CVE-2026-5707: 虚拟桌面会话名称处理中存在未 sanitised 输入（Unsanitized input），允许远程认证用户以 root 身份在虚拟桌面主机上执行任意命令。 CVE-2026-5708: 会话创建组件中用户可修改属性的控制不当，允许远程认证用户提升权限并假设 Virtual Desktop Host 实例的配置文件权限。 CVE-2026-5709: FileBrowser API 中存在未 sanitised 输入，允许远程认证用户在 cluster-manager EC2 实例上执行任意命令。 影响范围 CVE-2026-5707: AWS Research and Engineering Studio (RES) 版本 2025.03 至 2025.12.01。 CVE-2026-5708: AWS Research and Engineering Studio (RES) 版本早于 2025.03。 CVE-2026-5709: AWS Research and Engineering Studio (RES) 版本 2024.10 至 2025.12.01。 总体受影响版本: <= 2025.12.01 修复方案 官方修复: 该问题已在 RES version 2026.03 中修复。建议升级至最新版本。 临时缓解措施 (Workarounds): 用户可应用补丁到现有的 RES 环境，具体缓解措施包括： 针对 CVE-2026-5707: 防止通过 Session Name 进行命令注入。 针对 CVE-2026-5708: 防止通过 Instance Profile Injection 进行权限提升。 针对 CVE-2026-5709: 防止通过 FileBrowser 进行命令注入。 (注：具体补丁链接指向 2025.12.01 及更早版本)

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

AWS RES 多个远程代码执行与权限提升漏洞 (CVE-2026-5707/5708/5709)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！