Bulletin-ID: 2026-037-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 02.06.2026, 08.45 Uhr PDT

Beschreibung:

Kiro ist eine agentenbasierte IDE, die Benutzer auf ihrem Desktop installieren. Wir haben die Schwachstelle CVE-2026-10591 identifiziert. Unzureichende Zugriffsbeschränkungen für Schreibzugriffe in der Kiro IDE vor Version 0.11 ermöglichen es nicht authentifizierten entfernten Angreifern, durch speziell präparierte Anweisungen beliebige Befehle auszuführen, indem Schreibzugriffe auf ausführungsrelevante Pfade (z. B. .vscode/tasks.json) ausgelöst werden, wodurch beim Öffnen eines Ordners eine automatische Ausführung erfolgen kann.

Betroffene Versionen: <0.11

Lösung:

Dieses Problem wurde in der Version 0.11 der Kiro-IDE behoben. Wir empfehlen ein Upgrade auf die neueste Version.

Problemumgehungen:

Keine Problemumgehung verfügbar.

Referenzen:

• CVE-2026-10591

Danksagung:

Wir möchten Cymulate für die Zusammenarbeit bei der Problemlösung im Rahmen des koordinierten Prozesses zur Offenlegung von Schwachstellen danken.

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.