CVE-2026-12957 和 CVE-2026-12958 – AWS 语言服务器和 Amazon Q 开发者版插件中的问题
公告 ID:2026-047-AWS
范围:AWS
内容类型:重要提示(需要注意)
发布日期:2026 年 6 月 23 日上午 09:00(太平洋夏令时)
描述:
AWS 语言服务器提供底层语言服务器运行时,支持 Amazon Q 开发者版的人工智能编码协助功能,覆盖多种 IDE 插件(Visual Studio Code、JetBrains、Eclipse 和 Visual Studio)。
我们发现了 CVE-2026-12957 漏洞,这是版本 1.65.0 之前的 AWS 语言服务器中不当的信任边界执行问题。如果本地用户打开恶意设计的工作区,则项目配置文件中的任何命令都可能会自动执行。此问题要求用户在出现提示时选择信任工作区。
我们发现了 CVE-2026-12958 漏洞,这是版本 1.69.0 之前的 AWS 语言服务器中缺少符号链接验证的问题。当本地用户使用恶意设计的符号链接打开工作区时,可能会发生这种情况,该符号链接解析为工作区信任边界之外的文件路径。
这些问题影响捆绑了 AWS 语言服务器的 Amazon Q 开发者版 IDE 插件。这两个问题都已在 AWS 语言服务器版本 1.69.0 中予以解决。
受影响的产品和版本:
- AWS 语言服务器:< 1.69.0
- 适用于 Visual Studio Code 的 Amazon Q 开发者版:< 2.20
- 适用于 JetBains 的 Amazon Q 开发者版:< 4.3
- 适用于 Eclipse 的 Amazon Q 开发者版:< 2.7.4
- 带有适用于 Visual Studio 的 Amazon Q 的 AWS 工具包:< 1.94.0.0
解决方法:
这些问题已在 AWS 语言服务器版本 1.69.0 和捆绑该版本的相应 Amazon Q 开发者版插件版本中予以解决。建议您升级到 Amazon Q 开发者版 IDE 插件的最新版本,并确保对任何分叉代码或派生代码进行修补,以纳入新的修复程序。
- 适用于 VS Code 的 Amazon Q 开发者版
- 适用于 JetBrains 的 Amazon Q 开发者版
- 适用于 Eclipse 的 Amazon Q 开发者版
- 适用于 Visual Studio 的 Amazon Q 开发者版
临时措施:
没有可用的临时措施。
参考:
致谢:
我们非常感谢 Wiz 通过协调漏洞披露流程针对这个问题进行的合作。
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。