Passer au contenu principal

CVE-2026-12530 – Neutralisation incorrecte des délimiteurs d’arguments dans install_packages() du SDK Python AWS Bedrock AgentCore

ID du bulletin : 2026-044-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 17/06/2026 à 14 h 15 PDT

Description :

Le SDK Python AWS Bedrock AgentCore (bedrock-agentcore) est un SDK open source qui permet aux développeurs de créer, de déployer et de gérer des agents sur AWS Bedrock AgentCore. Nous avons identifié CVE-2026-12530, un problème dans la méthode install_packages() du client du service de codage. La méthode appliquait une liste de blocage incomplète pour assainir les arguments de nom de package avant de construire une commande shell « pip install » exécutée dans l’environnement de test (sandbox) du service de codage. Des arguments de nom de package spécialement conçus pouvaient ainsi contourner la validation, notamment l’option « --index-url » de pip, qui pouvait rediriger la résolution des packages vers un serveur PyPI contrôlé par un tiers, et l’option « -r », qui pouvait lire et exposer des fichiers arbitraires de l’environnement de test (sandbox).

Versions concernées : SDK Python AWS Bedrock AgentCore (bedrock-agentcore) versions >= 1.1.3 et < 1.6.1

Résolution :

Ce problème a été résolu dans la version 1.6.1 de bedrock-agentcore. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou forké est mis à jour afin d’intégrer les nouveaux correctifs.

Solutions de contournement :

Si vous ne pouvez pas effectuer la mise à niveau immédiatement, évitez de transmettre directement à install_packages() des chaînes fournies par les utilisateurs ou influencées par des sources externes. Dans le code de votre application, limitez les appels à une liste fixe et codée en dur de noms de package approuvés.

Références :

Remerciements :

Nous tenons à remercier Sergio Garcia pour sa collaboration sur ce problème dans le cadre du processus coordonné de divulgation des vulnérabilités.


Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.