Bulletin-ID: 2026-012-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 02.04.2026, 11.30 Uhr PST

Beschreibung:

Kiro IDE ist eine agentenbasierte Entwicklungsumgebung, die es Entwicklern erleichtert, echte technische Arbeiten mithilfe von KI-Agenten zu realisieren.

Wir haben CVE-2026-5429 identifiziert, bei der nicht bereinigte Eingaben während der Webseitenerstellung in der Kiro-Agent-Webansicht in der Kiro IDE vor Version 0.8.140 es einem nicht authentifizierten Remote-Bedrohungsakteur ermöglichen, über einen böswillig gestalteten Farbthemennamen beliebigen Code auszuführen, wenn ein lokaler Benutzer den Workspace öffnet. Dieses Problem erfordert, dass der Benutzer dem Workspace vertraut, wenn er dazu aufgefordert wird.

Betroffene Versionen:  < 0.8.140

Lösung:

Dieses Problem wurde in Kiro IDE Version 0.8.140 behoben. Wir empfehlen, ein Upgrade auf die neueste Version vorzunehmen und dafür zu sorgen, dass jeder geforkte oder derivative Code gepatcht wird, damit die neuen Fehlerbehebung integriert sind.

Danksagung:

Wir möchten Dhiraj Mishra für die Zusammenarbeit bei der Problemlösung im Rahmen des koordinierten Offenlegungsprozesses danken.

Referenz:

• https://www.cve.org/CVERecord?id=CVE-2026-5429
• https://kiro.dev/changelog/ide/0-8/#patch-0-8-140

 

Bei Fragen oder Bedenken zum Thema Sicherheit senden Sie bitte eine E-Mail an aws-security@amazon.com.