概要
AWS-LC の PKCS7_verify() に、Authenticated Attributes を持つ PKCS7 オブジェクトを処理する際に署名検証をバイパスできる脆弱性が存在します。未認証のユーザーが署名検証を回避できるため、改ざんされたデータが正当と判定される可能性があります。
CVE-2026-3336 と同様に、AWSサービスの利用者は対応不要ですが、AWS-LC を直接利用しているアプリケーションはアップデートが必要です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.5 |
| 深刻度 | High |
| CWE | CWE-347 (不適切な署名検証) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| AWS-LC | Amazon Web Services | 1.69.0 未満 |
修正バージョンと回避策
- 修正バージョン: AWS-LC 1.69.0
- AWSマネージドサービス利用者は対応不要
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。