ID do boletim: 2026-017-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 20/04/2026 9:15 PDT
 

Descrição:

O SDK de criptografia da AWS (ESDK) para Python é uma biblioteca de criptografia do lado do cliente. Identificamos a CVE-2026-6550, que descreve um problema com uma evasão da política de comprometimento de chaves por meio do cache de chaves compartilhadas.

Uma vulnerabilidade de downgrade do algoritmo criptográfico na camada de cache do SDK de criptografia da AWS para Python, em versões anteriores à 3.3.1 e à 4.0.5, pode permitir que um agente mal-intencionado local autenticado contorne a aplicação da política de comprometimento de chaves por meio de um cache de chaves compartilhadas, resultando em texto cifrado que pode ser descriptografado em vários textos simples diferentes.

Versões afetadas:

• De 2.0 a 2.5.1
• De 3.0 a 3.3.0
• De 4.0 a 4.0.4

Resolução:

Esse problema foi resolvido nas versões 3.3.1 e 4.0.5 do ESDK para Python. Recomendamos fazer upgrade para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Soluções alternativas:

Se um cliente precisar operar várias instâncias do ESDK para Python, cada uma com políticas de gerenciamento de chaves configuradas de maneira diferente, elas não devem compartilhar um cache de chaves.

Referências:

• CVE-2026-6550
• GHSA-v638-38fc-rhfv

Agradecimento:

Gostaríamos de agradecer a 1seal.org pela colaboração nesta questão por meio do processo coordenado de divulgação de vulnerabilidades.

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.