ID du bulletin : 2026-035-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 22/05/2026 à 9 h 45 (heure du Pacifique)
 

Description :

Kiro CLI est un assistant de codage IA en ligne de commande qui permet aux développeurs d’interagir avec des modèles d’IA pour exécuter du code, gérer des fichiers et exécuter des commandes shell. Nous avons identifié CVE-2026-9255, un problème selon lequel l’absence de validation de la source d’entrée dans l’invite d’autorisation de l’outil pouvait permettre à un acteur local d’exécuter des outils arbitraires, y compris des commandes shell, sans l’approbation de l’utilisateur en créant du contenu redirigé vers kiro-cli via l’entrée standard.

Versions concernées : kiro-cli avant la version 1.28.0

Résolution :

Ce problème a été résolu dans la version kiro-cli 1.28.0. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou forké soit mis à jour afin d’intégrer les nouveaux correctifs.

Solutions de contournement :

Exécutez kiro-cli avec l’option--no-interactive lorsque vous redirigez du contenu provenant de sources non fiables. Cela désactive explicitement les invites d’approbation des outils et empêche les entrées redirigées d’être utilisées comme réponses de confirmation.

Références :

• CVE-2026-9255

Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.