公告 ID：2026-024-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 4 月 30 日上午 11:45 (太平洋夏令時間)
 

描述：

Amazon Elastic Container Service (Amazon ECS) 是全受管容器協同運作服務，能讓客戶輕鬆地部署、管理和擴展容器化應用程式。Amazon ECS 代理程式支援在 Windows EC2 執行個體上的任務定義中，掛載 FSx for Windows File Server 磁碟區。我們發現了 CVE-2026-7461，這是 FSx 磁碟區掛載中的命令注入問題。此問題允許透過 ECS 任務定義中特製的憑證，以 SYSTEM 權限執行程式碼。

受影響版本：適用於 Windows 的 ECS 代理程式 1.47.0 至 1.102.2 版

解決方案：

此問題僅影響 ECS Windows 工作節點執行個體。ECS on Fargate 不受影響。此問題已在 ECS 代理程式 1.103.0 版中解決。建議升級至最新且具備更新版 ECS 代理程式的 Amazon ECS 最佳化 Windows AMI。

變通方法：

無法更新至最新 AMI 的客戶，可將 ecs:RegisterTaskDefinition 許可限制為僅限受信任的 IAM 主體，並限制對 FSx 磁碟區組態中所參照 Secrets Manager 秘密的寫入存取權。

參考資料：

• CVE-2026-7461
• GHSA-fc67-c4hg-q653

致謝：

我們誠摯感謝 Sachin Patil 透過協調式漏洞揭露程序，與我們共同處理此問題。

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。