公告 ID：2026-012-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 4 月 2 日上午 11:30（太平洋标准时间）

描述：

Kiro IDE 是一种代理式开发环境，它让开发人员能够借助人工智能代理轻松交付真实的工程工作。

我们发现了 CVE-2026-5429 漏洞，在 Kiro IDE 0.8.140 之前的版本中，在 Kiro Agent Webview 中生成网页时，未经审查的输入允许未经身份验证的远程威胁行为者在本地用户打开工作区时，通过恶意构造的颜色主题名称执行任意代码。此问题要求用户在出现提示时选择信任工作区。

受影响的版本：< 0.8.140

解决方法：

此问题已在 Kiro IDE 0.8.140 版本中予以解决。 建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

致谢：

我们要感谢 Dhiraj Mishra 通过协调披露流程就这些问题展开合作。

参考：

• https://www.cve.org/CVERecord?id=CVE-2026-5429
• https://kiro.dev/changelog/ide/0-8/#patch-0-8-140

 

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。