Bulletin-ID: 2026-035-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 22.05.2026, 9.45 Uhr PDT
 

Beschreibung:

Kiro CLI ist ein KI‑Programmierungsassistent über die Befehlszeile, der es Entwicklern ermöglicht, mit KI-Modellen zu interagieren, um Code auszuführen, Dateien zu verwalten und Shell-Befehle auszuführen. Wir haben CVE-2026-9255 identifiziert, ein Problem, bei dem eine fehlende Überprüfung der Eingabequelle in der Tool-Autorisierungsaufforderung es einem lokalen Akteur ermöglichen könnte, beliebige Tools, einschließlich Shell-Befehle, ohne Zustimmung des Benutzers auszuführen, indem er Inhalte erstellt, die über stdin an kiro-cli weitergeleitet werden.

Betroffene Versionen: kiro-cli vor 1.28.0

Lösung:

Dieses Problem wurde in Version 1.28.0 von kiro-cli behoben. Wir empfehlen, ein Upgrade auf die neueste Version vorzunehmen und dafür zu sorgen, dass jeder geforkte oder derivative Code gepatcht wird, damit die neuen Fehlerbehebung integriert sind.

Problemumgehungen:

Führen Sie kiro-cli mit dem Flag --no-interactive aus, wenn Sie Inhalte aus nicht vertrauenswürdigen Quellen weiterleiten. Dadurch werden Genehmigungsabfragen für Tools explizit deaktiviert und es wird verhindert, dass weitergeleitete Eingaben als Bestätigungsantworten verwendet werden.

Referenzen:

• CVE-2026-9255

Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.