Las fallas permiten ejecución remota de comandos con privilegios root y asumir roles de instancia AWS. Versiones 2025.12.01 y anteriores afectadas; actualización a 2026.03 disponible.
Amazon Web Services publicó el 6 de abril de 2026 el boletín de seguridad 2026-014-AWS, que detalla tres vulnerabilidades de severidad importante en su producto Research and Engineering Studio (RES). Esta plataforma de código abierto permite a administradores crear y gestionar entornos seguros de investigación e ingeniería en la nube. Las fallas, identificadas como CVE-2026-5707, CVE-2026-5708 y CVE-2026-5709, afectan las versiones 2025.12.01 y anteriores, y han sido corregidas en la versión 2026.03 del producto.
La vulnerabilidad más crítica, CVE-2026-5707, consiste en una inyección de comandos del sistema operativo a través del manejo de nombres de sesión en escritorios virtuales. Un atacante remoto autenticado podría ejecutar comandos arbitrarios con privilegios root en el host del escritorio virtual simplemente insertando código malicioso en el campo del nombre de sesión. Este fallo afecta específicamente las versiones de RES desde 2025.03 hasta 2025.12.01. La ausencia de saneamiento de entrada en este parámetro representa una falla de diseño que expone directamente la infraestructura subyacente.
La segunda falla, CVE-2026-5708, permite escalada de privilegios mediante el control inadecuado de atributos modificables por el usuario durante la creación de sesiones. Un atacante autenticado puede enviar una petición API manipulada para asumir los permisos del perfil de instancia del Virtual Desktop Host, lo que le otorga acceso no autorizado a otros recursos y servicios de AWS conectados al entorno. Esta vulnerabilidad afecta todas las versiones anteriores a 2026.03. El impacto es particularmente grave en arquitecturas donde el perfil de instancia tiene permisos amplios sobre buckets S3, bases de datos RDS u otros servicios de datos sensibles.
La tercera vulnerabilidad, CVE-2026-5709, también es una inyección de comandos, pero ubicada en la API de FileBrowser. Afecta las versiones desde 2024.10 hasta 2025.12.01 y permite a un atacante remoto autenticado ejecutar comandos arbitrarios en la instancia EC2 del cluster-manager a través de entrada manipulada al utilizar la funcionalidad de navegación de archivos. Esta instancia es crítica para la operación del clúster y su compromiso podría afectar la disponibilidad de todo el entorno de investigación.
Las tres vulnerabilidades comparten un requisito de autenticación previa, lo que reduce pero no elimina el riesgo. En entornos corporativos y académicos donde múltiples usuarios tienen acceso legítimo a RES, un solo actor malicioso interno o una cuenta comprometida son suficientes para explotar estas fallas. El vector de ataque no requiere interacción adicional del usuario y puede automatizarse una vez obtenido el acceso inicial.
AWS ha corregido las tres fallas en la versión 2026.03 de Research and Engineering Studio. Los administradores deben actualizar inmediatamente a esta versión verificando que cualquier código derivado o fork propio incorpore también los parches. Para organizaciones que no puedan actualizar de inmediato, AWS ha publicado instrucciones de mitigación manual en su repositorio oficial que permiten parchear entornos existentes en versiones 2025.12.01 y anteriores. Se recomienda priorizar esta actualización en entornos expuestos a internet o con múltiples usuarios autenticados, aplicando el parche dentro de las próximas 24 a 48 horas.
FUENTE ORIGINAL
AWS Security Bulletin↗CURADO POR
Alejandro Vargas