公告 ID：2026-037-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 6 月 2 日上午 08:45（太平洋夏令时）

描述：

Kiro 是用户安装在桌面上的代理式 IDE。我们发现了 CVE‑2026‑10591 漏洞。在版本 0.11 之前的 Kiro IDE 中，文件写入工具的访问控制限制不足，可能允许未经身份验证的远程操作者通过有意设计的指令执行任意命令，这些指令会写入执行敏感路径（例如 .vscode/tasks.json），从而在打开文件夹时自动执行。

受影响的版本：<0.11

解决方法：

此问题已在 Kiro IDE 版本 0.11 中予以解决。建议升级至最新版本。

临时措施：

没有可用的临时措施。

参考：

• CVE-2026-10591

致谢：

我们非常感谢 Cymulate 通过协调漏洞披露流程针对这个问题进行的合作。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。