速報 ID: 2026-040-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 6 月 8 日 午前 11 時 45 分 (PDT)

説明:

AWS AgentCore CLI (@aws/agentcore) は、Amazon Bedrock AgentCore 上でエージェントインフラストラクチャのライフサイクルを管理するためのデベロッパーツールです。当社では CVE-2026-11393 を特定しました。これは、Python コード生成時における三重引用符文字の不適切な無害化により、同じ AWS アカウントの認証済みユーザーが、「agentcore add agent --type import」コマンドによって生成されたソースファイルに任意の Python コードを挿入できるようになる可能性がありるというものです。

具体的には、Bedrock エージェントのコラボレーターの関連付けに関する [collaborationInstruction] フィールドが、三重引用符によるエスケープではなく、単一引用符によるエスケープを使用して、三重引用符で囲まれた Python docstring に挿入されていました。bedrock:AssociateAgentCollaborator IAM 許可を持つユーザーは、""" を含む [collaborationInstruction] の値を細工することで、インポートされたエージェントに対応して生成された main.py ファイル内で、docstring の境界を突破できる可能性がありました。その後、生成されたファイルが、デベロッパーのローカルマシンで agentcore dev を介して、または AgentCore Runtime 環境で agentcore deploy およびそれに続く agentcore invoke を介して実行された場合、挿入された Python は、そのコンテキストで使用可能な認証情報を使用して実行されます。

影響を受けるバージョン:

• @aws/agentcore >= 0.4.0 および <= 0.14.1
• プレビューバージョン >= 0.3.0-preview.7.0 および <= 1.0.0-preview.8

解決方法:

この問題は、@aws/agentcore バージョン 0.14.2 およびプレビューバージョン 1.0.0-preview.9 で対処されています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

• GA バージョン:
  npm install -g @aws/agentcore@latest
  
  
• プレビューバージョン:
  npm install -g @aws/agentcore@preview

以前に、影響を受けるバージョンで agentcore add agent --type import コマンドを使用して Bedrock スーパーバイザーエージェントをインポートしたお客様は、次を実行する必要があります:

1. CLI を v0.14.2 / 1.0.0-preview.9 以降にアップグレードする。
2. 影響を受けるエージェントをプロジェクト「agentcore remove agent <name>」から削除する。
3. パッチ適用済みの CLI を使用して「agentcore add agent --type import」を再実行し、クリーンな main.py ファイルを再生成する。
4. AWS でデプロイ済みのアーティファクトを置き換えるために、「agentcore deploy --yes to」を実行する。

回避策:

すぐにアップグレードできない場合は、ローカルでエージェントをデプロイまたは実行する前に、生成された main.py を手動で検査して、""" シーケンスを含む collaboratorInstruction の値がないかを確認し、それらの値があればすべて \"\"\" に置き換えることができます。

参考情報:

• CVE-2026-11393
• GHSA--m4x6-gwgp-4pm7

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。