この日はAWSセキュリティ速報が1件公開されました。Research and Engineering Studio on AWS (RES)における所有権検証の不備(CVE-2025-12815)で、バージョン2025.09より前のRESでは、仮想デスクトップのプレビューページにおいて認証済みのリモートユーザーが本来アクセス権を持たない他ユーザーのアクティブなデスクトップセッションのメタデータ(定期的に取得されるデスクトッププレビューのスクリーンショットを含む)を閲覧できる可能性があると報告されています。重要度は「Important」で、影響を受けるのは2025.09未満のバージョンです。
Research and Engineering Studio on AWS (RES) の仮想デスクトッププレビューでの情報露出 (CVE-2025-12815)
Bulletin ID: AWS-2025-026
Scope: AWS
Content Type: Important (requires attention)
Publication Date: 2025/11/6 09:15 AM PDT
Description:
Research and Engineering Studio on AWS (RES) is an open source, easy-to-use web-based portal for administrators to create and manage secure cloud-based research and engineering environments. We identified CVE-2025-12815, in which an ownership verification issue in the Virtual Desktop preview page in the Research and Engineering Studio (RES) on AWS before version 2025.09 may allow an authenticated remote user to view another user's active desktop session metadata, including periodical desktop preview screenshots.
Impacted versions: < 2025.09