公告 ID：2026-045-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 6 月 15 日上午 11:45（太平洋夏令时）

描述：

Kiro IDE 是一种代理式开发环境，让开发人员能够借助人工智能代理轻松交付真实的工程工作。

我们发现了 CVE-2026-11931 漏洞，其中版本 0.11.133 之前的 macOS 和 Linux 上的 Kiro IDE 中的默认权限不正确，可能会通过全局可读权限（0644）而不是所有者限制权限（0600），将身份验证令牌缓存文件暴露给其他本地用户或进程。

受影响的版本：< 0.11.133

解决方法：

此问题已在 Kiro IDE 版本 0.11.133 中予以解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

参考：

• CVE-2026-11931
• Kiro IDE 版本 0.11.133

致谢：

我们非常感谢 BeyondTrust Phantom Labs 的 Sergio Garcia 通过协调披露流程针对这个问题进行的合作。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。