ID del boletín: 2026-035-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 22/05/2026 9:45 h PDT
 

Descripción:

La CLI de Kiro es un asistente de codificación de IA de línea de comandos que permite a los desarrolladores interactuar con modelos de IA para ejecutar código, administrar archivos y ejecutar comandos de shell. Identificamos la vulnerabilidad CVE-2026-9255, un problema por el que la falta de validación de la fuente de entrada en la petición de autorización de la herramienta podía permitir a un actor local ejecutar herramientas arbitrarias, incluidos comandos de shell, sin la aprobación del usuario al crear contenido que se canaliza a kiro-cli mediante stdin.

Versiones afectadas: kiro-cli anteriores a 1.28.0

Resolución:

Este problema se solucionó en la versión 1.28.0 de kiro-cli. Recomendamos actualizar a la versión más reciente y verificar que cualquier código derivado o bifurcado incorpore las nuevas correcciones.

Soluciones alternativas:

Ejecute kiro-cli con el indicador --no-interactive cuando canalice contenido de fuentes que no sean de confianza. Esto desactiva explícitamente las peticiones de aprobación de las herramientas y evita que las entradas canalizadas se consuman como respuestas de confirmación.

Referencias:

• CVE-2026-9255

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.