AWS Ops Wheel Privilege Escalation via Cognito Attribute (CVE-2026-6912)

漏洞总结：AWS Ops Wheel 权限提升漏洞 漏洞概述 漏洞名称：Privilege Escalation via Self-Writable Cognito Custom Attribute in AWS Ops Wheel 漏洞类型：权限提升（Privilege Escalation） 严重程度：High (8.8 / 10) CVSS v3 基础指标： - 攻击向量：Network - 攻击复杂度：Low - 所需权限：Low - 用户交互：None - 范围：Unchanged - 机密性：High - 完整性：High - 可用性：High CVE ID：CVE-2026-6912 弱点标识：CWE-915 影响范围 受影响版本：PR #147 至 PR #163 之间的部署版本（即 ） 不受影响版本：PR #165 及之后版本；V1 API 不受影响 影响组件：AWS Ops Wheel v2 部署中所有应用账户和 Cognito 用户账户管理功能 修复方案 已修复版本：PR #165 推荐操作： 1. 从最新版本重新部署仓库。 2. 确保任何 fork 或衍生代码已修补以包含新修复。 临时缓解措施（如无法立即重新部署）： - 通过 AWS WAF 或 VPC 配置限制对 API Gateway 端点的网络访问，以限制暴露面。 漏洞描述（Impact） Cognito User Pool 客户端未限制认证用户可修改自身配置文件中的属性。攻击者可利用此漏洞提升权限，获得未经授权的管理员访问权限，包括读取、修改、删除应用账户数据及管理 Cognito 用户账户。 补丁说明（Patches） 该问题已在 PR #165 中解决。建议用户重新部署并应用补丁。 变通方法（Workarounds） 对于无法立即重新部署的用户，可通过 AWS WAF 或 VPC 配置限制对 API Gateway 端点的网络访问，以限制漏洞利用范围。

目標達成すべての支援者に感謝 — 100%達成しました！

AWS Ops Wheel Privilege Escalation via Cognito Attribute (CVE-2026-6912)

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

AWS Ops Wheel Privilege Escalation via Cognito Attribute (CVE-2026-6912)

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！