关键信息 漏洞概述 CVE ID: CVE-2026-22611 漏洞描述: - 漏洞与在调用AWS服务时对region参数使用特定值有关。具有访问SDK 使用环境权限的攻击者可以将region参数设置为无效值。 - AWS SDK for .NET V4中已实施了深度防御增强措施,以确保region用于构建端点URL时是有效主机标签。这项更改于2025年11月21日发布。 影响: - 客户应用程序可能配置为将AWS API请求不当路由到不存在或非AWS主机。虽然SDK在共享责任模型要求范围内正常运行,但已添加额外的安全措施以支持安全的客户实现。 - 受影响版本: AWS SDK for .NET V4的所有版本在4.0.139.0版本之前发布 (AWS SDK for .NET V3不受影响)。 影响范围 受影响的版本: >= 4.0.0, < 4.0.3.3 修复版本: 4.0.3.3 严重性 CVSS v3 基本度量: - 攻击向量: 网络 - 攻击复杂度: 高 - 所需权限: 无 - 用户交互: 无 - 范围: 不变 - 机密性: 低 - 完整性: 无 - 可用性: 无 严重性评分: 3.7/10 解决方案和防御措施 补丁: - 2025年11月21日,对AWS SDK for .NET V4的发布进行了增强,该发布验证了region的格式,提供了额外的安全措施。 安全最佳实践: - 在应用程序代码中实现正确的输入验证 - 定期更新到最新的AWS SDK for .NET发布 - 遵循AWS安全最佳实践配置SDK 引用 联系AWS安全团队通过漏洞报告页面或电子邮件: aws-security@amazon.com. 感谢Guy Arai通过协调披露过程带来的客户安全性考虑。 致谢 感谢Guy Arai通过协调披露过程引起我们对这些客户安全考虑的关注。 ``` 这简洁地提炼了漏洞的关键信息,包括漏洞描述、影响、严重性评分、补丁信息和安全建议。