공지 ID: 2026-035-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 5월 22일 오전 9시 45분(PDT)
 

설명:

Kiro CLI는 개발자가 AI 모델과 상호 작용하여 코드를 실행하고, 파일을 관리하고, 쉘 명령을 실행할 수 있도록 해주는 명령줄 AI 코딩 어시스턴트입니다. 도구 인증 프롬프트에서 입력 소스 검증이 누락되어 로컬 사용자가 stdin을 통해 kiro-cli로 파이프되는 콘텐츠를 조작함으로써 사용자 승인 없이 쉘 명령을 비롯한 임의의 도구를 실행할 수 있는 CVE-2026-9255 문제를 확인했습니다.

영향을 받는 버전: 1.28.0 이전 kiro-cli

해결 방법:

이 문제는 kiro-cli 버전 1.28.0에서 해결되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.

대안:

신뢰할 수 없는 소스의 콘텐츠를 파이프하는 경우 --no-interactive 플래그를 사용하여 kiro-cli를 실행하세요. 그러면 도구 인증 프롬프트가 명시적으로 비활성화되고 파이프된 입력이 확인 응답으로 사용되는 것을 방지할 수 있습니다.

참고 사항:

• CVE-2026-9255

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.