速報 ID: 2026-035-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 5 月 22 日 午前 9 時 45 分 (PDT)
 

説明:

Kiro CLI は、開発者が AI モデルと対話してコードの実行、ファイルの管理、シェルコマンドの実行を行えるようにするコマンドライン型の AI コーディングアシスタントです。当社は、ツールの承認プロンプトにおける入力ソース検証の欠如により、ローカルの攻撃者が標準入力 (stdin) 経由で kiro-cli にパイプで渡されるコンテンツを細工することで、ユーザーの承認なしにシェルコマンドを始めとする任意のツールを実行できる問題 CVE-2026-9255 を特定しました。

影響を受けるバージョン: 1.28.0 以前の kiro-cli

解決方法:

この問題は、kiro-cli バージョン 1.28.0 で解決されています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

回避策:

信頼できないソースからコンテンツをパイプで渡す場合は、--no-interactive フラグを指定して kiro-cli を実行してください。これにより、ツールの承認プロンプトが明示的に無効化され、パイプで渡された入力が確認レスポンスとして処理されるのを防ぎます。

参考情報:

• CVE-2026-9255

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。