ID del boletín: 2026-012-AWS
Alcance: AWS
Tipo de contenido: importante (requiere atención)
Fecha de la publicación: 02/04/2026 11:30 h PST

Descripción:

El IDE de Kiro es un entorno de desarrollo agéntico que facilita a los desarrolladores la realización de trabajos de ingeniería reales con la ayuda de agentes de IA.

Identificamos el CVE-2026-5429, en el que la entrada no desinfectada durante la generación de páginas web en la vista web del agente de Kiro en el IDE de Kiro antes de la versión 0.8.140 permitía a un actor de amenazas remoto no autenticado ejecutar código arbitrario mediante un nombre de tema en color creado con fines malintencionados cuando un usuario local abre el espacio de trabajo. Este problema requiere que el usuario confíe en el espacio de trabajo cuando se le pida.

Versiones afectadas: < 0.8.140

Resolución:

Este problema se solucionó en la versión 0.8.140 del IDE de Kiro. Recomendamos actualizar a la versión más reciente y verificar que cualquier código derivado o bifurcado incorpore las nuevas revisiones.

Reconocimiento:

Agradecemos a Dhiraj Mishra por colaborar en estos problemas a través del proceso de divulgación coordinado.

Referencia:

• https://www.cve.org/CVERecord?id=CVE-2026-5429
• https://kiro.dev/changelog/ide/0-8/#patch-0-8-140

 

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.