ID bollettino: 2026-035-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 22/05/2026 9:45 PDT
 

Descrizione:

Kiro CLI è un assistente di codifica IA a riga di comando che consente agli sviluppatori di interagire con i modelli di intelligenza artificiale per eseguire codice, gestire file ed eseguire comandi di shell. Abbiamo identificato CVE-2026-9255, un problema in cui la mancata convalida della fonte di input nel prompt di autorizzazione dello strumento potrebbe consentire a un attore locale una esecuzione arbitraria di strumenti, inclusi i comandi della shell, senza l’approvazione dell’utente creando contenuti che vengono reindirizzati a kiro-cli tramite stdin.

Versioni interessate: kiro-cli precedenti alla 1.28.0

Risoluzione:

questo problema è stato risolto nella versione 1.28.0 di kiro-cli. Per incorporare le nuove correzioni, consigliamo di eseguire l’aggiornamento alla versione più recente e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.

Soluzioni alternative:

esegui kiro-cli con il flag --no-interactive quando trasmetti contenuti da fonti non attendibili. Ciò disabilita esplicitamente i prompt di approvazione degli strumenti e impedisce che gli input inviati vengano utilizzati come risposte di conferma.

Riferimenti:

• CVE-2026-9255

Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.