ID bollettino: 2026-037-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 02/06/2026 08:45 PDT

Descrizione:

Kiro è un ambiente di sviluppo integrato (IDE) agentico che gli utenti installano sul proprio desktop. Abbiamo identificato la vulnerabilità CVE-2026-10591. Le insufficienti restrizioni di controllo degli accessi allo strumento di scrittura dei file nell’IDE di Kiro, versioni precedenti alla 0.11, potrebbero consentire agli attori remoti non autenticati di eseguire comandi arbitrari tramite istruzioni predisposte che causano la scrittura su percorsi sensibili all’esecuzione (come .vscode/tasks.json), abilitando l’esecuzione automatica all’apertura della cartella.

Versioni interessate: versione 0.11 e precedenti

Risoluzione:

questo problema è stato risolto nella versione 0.11 dell’IDE di Kiro. Consigliamo di eseguire l’aggiornamento alla versione più recente.

Soluzioni alternative:

nessuna soluzione alternativa disponibile.

Riferimenti:

• CVE-2026-10591

Ringraziamenti:

desideriamo ringraziare Cymulate per aver collaborato alla risoluzione di questo problema attraverso il processo di divulgazione coordinata delle vulnerabilità.

In caso di domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.