CVE-2026-13769
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
W AWS CLI przed wersjami 1.44.78 (v1) i 2.34.29 (v2) na systemach Unix-like, domyślne uprawnienia plików są zbyt liberalne, co pozwala innym lokalnym użytkownikom na tym samym hoście odczytać poświadczenia zapisane przez niektóre podkomendy CLI (aws codeartifact login, aws iam create-virtual-mfa-device, aws deploy register). Problem występuje, gdy umask nie został skonfigurowany do ograniczenia uprawnień plików (co jest domyślne na większości systemów).
Ocena ryzyka
Ryzyko polega na możliwości kradzieży poświadczeń AWS przez innych lokalnych użytkowników, co może prowadzić do nieautoryzowanego dostępu do zasobów w chmurze, wycieku danych lub eskalacji uprawnień w środowisku.
Rekomendacja
Należy niezwłocznie zaktualizować AWS CLI do wersji 1.44.78 (v1) lub 2.34.29 (v2) lub nowszej. Dodatkowo, rozważ skonfigurowanie odpowiedniego umask (np. 077) dla użytkowników uruchamiających CLI.
Oryginalny opis (angielski, źródło NVD)
Overly permissive file permissions in AWS CLI before 1.44.78 (v1) and 2.34.29 (v2) on Unix-like systems where the umask has not been configured to restrict file permissions (the default on most systems) may allow other local users on the same host to read credentials written by certain CLI subcommands (aws codeartifact login, aws iam create-virtual-mfa-device, aws deploy register). To remediate this issue, users should upgrade to AWS CLI 1.44.78 (v1) or 2.34.29 (v2) or later.

