CVE-2026-6911
CriticalSummary
Brak weryfikacji podpisu JWT w AWS Ops Wheel umożliwia nieautoryzowanym atakującym fałszowanie tokenów JWT i uzyskiwanie niezamierzonego dostępu administracyjnego do aplikacji. Atakujący mogą czytać, modyfikować i usuwać wszystkie dane aplikacji oraz zarządzać kontami użytkowników Cognito w ramach puli użytkowników wdrożenia.
Risk Assessment
Organizacja narażona jest na poważne ryzyko związane z utratą danych oraz nieautoryzowanym dostępem do wrażliwych informacji. Potencjalne skutki mogą obejmować naruszenie prywatności użytkowników oraz utratę zaufania do aplikacji.
Recommendation
Zaleca się ponowne wdrożenie z zaktualizowanego repozytorium oraz zapewnienie, że wszelkie forkowane lub pochodne kody są poprawione, aby uwzględnić nowe poprawki.
Original NVD description (English source)
Missing JWT signature verification in AWS Ops Wheel allows unauthenticated attackers to forge JWT tokens and gain unintended administrative access to the application, including the ability to read, modify, and delete all application data across tenants and manage Cognito user accounts within the deployment's User Pool, via a crafted JWT sent to the API Gateway endpoint. To remediate this issue, users should redeploy from the updated repository and ensure any forked or derivative code is patched to incorporate the new fixes.

