JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-010682 AWS Research and Engineering Studio（RES）のバージョン2025.03から2025.12.01にかけての仮想デスクトップセッション名処理において、OSコマンドの未検証入力が存在しました。そのため、リモートの認証済みアクターが細工されたセッション名を介して仮想デスクトップホスト上でroot権限を持つ任意のコマンドを実行できる可能性があります。この問題を修正するために、ユーザーはRESバージョン2026.03にアップグレードするか、既存の環境に対応した緩和パッチを適用することを推奨します。 cpe:/a:amazon:research_and_engineering_studio https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-010682.html Common Vulnerabilities and Exposures (CVE) CVE-2026-5707 https://www.cve.org/CVERecord?id=CVE-2026-5707 National Vulnerability Database (NVD) CVE-2026-5707 https://nvd.nist.gov/vuln/detail/CVE-2026-5707 Amazon Linux Security Center Issues with AWS Research and Engineering Studio (RES) https://aws.amazon.com/security/security-bulletins/2026-014-aws/ JVNDB CWE-78 https://jvndb.jvn.jp/ja/cwe/CWE-78.html 関連文書 Release 2026.03 aws/res GitHub https://github.com/aws/res/releases/tag/2026.03 関連文書 [2025.12.01 and earlier] Preventing Command Injection via Session Name Issue #151 aws/res https://github.com/aws/res/issues/151 2026-04-13T11:14:49+09:00 2026-04-13T11:14:49+09:00