ID de boletín: AWS-2025-019
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 07/10/2025 13:30 PDT

Descripción:

Conocemos las publicaciones de blog de Embrace The Red (“The Month of AI Bugs”) en las que se describen problemas de inyección de peticiones en Amazon Q Developer y Kiro.

“Amazon Q Developer: Remote Code Execution with Prompt Injection” y “Amazon Q Developer for VS Code Vulnerable to Invisible Prompt Injection”.

Estos problemas requieren una sesión de chat abierta y un acceso intencionado a un archivo malintencionado mediante comandos como find, grep o echo, que pueden ejecutarse sin la confirmación de participación humana (HITL). En algunos casos, los caracteres de control invisibles pueden ofuscar estos comandos. El 17 de julio de 2025, publicamos la versión 1.22.0 de Language Server, que requiere la confirmación de HITL para estos comandos

“Amazon Q Developer: Secrets Leaked via DNS and Prompt Injection”.

Este problema requiere que un desarrollador acepte una sugerencia inyectada por una petición, incluidos comandos como ping o dig, que podrían filtrar los metadatos a través de consultas de DNS sin la confirmación de HITL. El 29 de julio de 2025, publicamos la versión 1.24.0 de Language Server, que requiere la confirmación de HITL para estos comandos

“AWS Kiro: Arbitrary Code Execution via Indirect Prompt Injection”.

Este problema requiere acceso al sistema local para inyectar instrucciones que conduzcan a la ejecución de código arbitrario a través de los archivos de configuración MCP o IDE de Kiro sin la confirmación de HITL en el modo supervisado o piloto automático de Kiro. El 1 de agosto de 2025, publicamos la versión 0.1.42 de Kiro, que requiere la confirmación de HITL para estas acciones cuando se configura en modo supervisado.

Amazon Q Developer y Kiro se basan en los principios del desarrollo agéntico, lo que permite a los desarrolladores trabajar de manera más eficiente con la ayuda de agentes de IA. A medida que los clientes adoptan flujos de trabajo de desarrollo mejorados con IA, recomendamos que evalúen e implementen los controles y políticas de seguridad adecuados en función de sus entornos específicos y modelos de responsabilidad compartida (AWS, Amazon Q, Kiro). Amazon Q Developer y Kiro ofrecen medidas de seguridad, que incluyen protecciones de participación humana y políticas de ejecución personalizables, para respaldar una adopción segura.

Versiones afectadas:

• Amazon Q Developer para find, grep y echo (versión <1.22.0)
• Amazon Q Developer para ping, dig: (versiones <1.24.0)
• AWS Kiro: versión 0.1.42

Resolución:

Actualice a Language Server v1.24.0 o a una versión más reciente reiniciando el complemento, actualizando a la última versión del complemento de Amazon Q Developer IDE o a la aplicación Kiro IDE más reciente. Tras la actualización, estos comandos requieren la confirmación de HITL (en modo supervisado para Kiro).

Reconocimiento:

Nos gustaría dar las gracias a Embrace the Red, HiddenLayer y MaccariTA por colaborar en estos temas a través del proceso coordinado de divulgación de vulnerabilidades.

Dirija cualquier pregunta o inquietud sobre seguridad al correo electrónico aws-security@amazon.com.