Bulletin-ID: 2026-008-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 16.03.2026, 11.15 Uhr PDT
 

Beschreibung:

Eine fehlende Verifizierung des S3-Besitzes im Starter-Toolkit von Bedrock AgentCore vor Version 0.1.13 kann es einem Remote-Akteur ermöglichen, während des Build-Prozesses Code einzuschleusen, was zur Ausführung von Code in der AgentCore Runtime führt.

Betroffene Versionen: Alle Versionen des Starter-Toolkits von Bedrock AgentCore vor 0.1.13. Dieses Problem betrifft ausschließlich Benutzer des Starter-Toolkits von Bedrock AgentCore vor Version 0.1.13, die das Toolkit nach dem 24. September 2025 erstellen. Benutzer einer Version >= 0.1.13 und Benutzer früherer Versionen, die das Toolkit vor dem 24. September 2025 erstellt haben, sind nicht betroffen.

Lösung:

Zur Behebung dieses Problems sollten Kunden ein Upgrade auf Version 0.1.13 oder höher durchführen.

Referenzen:

• CVE-2026-4269
• GHSA-xfhr-q72q-jcrj

Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.