ID do boletim: 2026-035-AWS
Escopo: AWS
Tipo de conteúdo: importante (requer atenção)
Data de publicação: 22/05/2026 9:45 PDT
 

Descrição:

O Kiro CLI é um assistente de programação de IA de linha de comando que permite aos desenvolvedores interagir com modelos de IA para executar código, gerenciar arquivos e executar comandos do shell. Identificamos a vulnerabilidade CVE-2026-9255, um problema em que a falta de validação da fonte de entrada no prompt de autorização da ferramenta poderia permitir que um agente local executasse ferramentas arbitrárias, incluindo comandos de shell, sem a aprovação do usuário, por meio da criação de conteúdo canalizado para o kiro-cli via stdin.

Versões afetadas: kiro-cli antes de 1.28.0

Resolução:

Esse problema foi resolvido no kiro-cli versão 1.28.0. Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Soluções alternativas:

Execute o kiro-cli com a opção --no-interactive ao redirecionar conteúdo de fontes não confiáveis. Isso desativa explicitamente os prompts de aprovação de ferramentas e impede que entradas recebidas por canalização sejam interpretadas como respostas de confirmação.

Referências:

• CVE-2026-9255

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.