跳至主要内容

CVE-2026-12957 和 CVE-2026-12958 – AWS 语言服务器和 Amazon Q 开发者版插件中的问题

公告 ID:2026-047-AWS
范围:AWS
内容类型:重要提示(需要注意)
发布日期:2026 年 6 月 23 日上午 09:00(太平洋夏令时)

描述:

AWS 语言服务器提供底层语言服务器运行时,支持 Amazon Q 开发者版的人工智能编码协助功能,覆盖多种 IDE 插件(Visual Studio Code、JetBrains、Eclipse 和 Visual Studio)。

我们发现了 CVE-2026-12957 漏洞,这是版本 1.65.0 之前的 AWS 语言服务器中不当的信任边界执行问题。如果本地用户打开恶意设计的工作区,则项目配置文件中的任何命令都可能会自动执行。此问题要求用户在出现提示时选择信任工作区。

我们发现了 CVE-2026-12958 漏洞,这是版本 1.69.0 之前的 AWS 语言服务器中缺少符号链接验证的问题。当本地用户使用恶意设计的符号链接打开工作区时,可能会发生这种情况,该符号链接解析为工作区信任边界之外的文件路径。

这些问题影响捆绑了 AWS 语言服务器的 Amazon Q 开发者版 IDE 插件。这两个问题都已在 AWS 语言服务器版本 1.69.0 中予以解决。

受影响的产品和版本:

  • AWS 语言服务器:< 1.69.0
  • 适用于 Visual Studio Code 的 Amazon Q 开发者版:< 2.20
  • 适用于 JetBains 的 Amazon Q 开发者版:< 4.3
  • 适用于 Eclipse 的 Amazon Q 开发者版:< 2.7.4
  • 带有适用于 Visual Studio 的 Amazon Q 的 AWS 工具包:< 1.94.0.0

解决方法:

这些问题已在 AWS 语言服务器版本 1.69.0 和捆绑该版本的相应 Amazon Q 开发者版插件版本中予以解决。建议您升级到 Amazon Q 开发者版 IDE 插件的最新版本,并确保对任何分叉代码或派生代码进行修补,以纳入新的修复程序。

临时措施:

没有可用的临时措施。

参考:

致谢:

我们非常感谢 Wiz 通过协调漏洞披露流程针对这个问题进行的合作。


如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com