ID du bulletin : 2026-012-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 02/04/2026 à 11 h 30 (heure standard du Pacifique)

Description :

L’IDE Kiro est un environnement de développement agentique qui permet aux développeurs de réaliser facilement de véritables tâches d’ingénierie à l’aide d’agents d’IA.

Nous avons identifié le problème CVE-2026-5429, à cause duquel une saisie non assainie lors de la génération de pages Web dans la webview de l’agent Kiro dans l’IDE Kiro pour la version 0.8.140 et versions antérieures permet à un acteur malveillant distant non authentifié d’exécuter du code arbitraire via un nom de thème de couleur conçu de manière malveillante lorsqu’un utilisateur local ouvre l’espace de travail. Ce problème nécessite que l’utilisateur approuve l’espace de travail lorsqu’il y est invité.

Versions concernées : < 0.8.140

Résolution :

Ce problème a été résolu dans l’IDE Kiro version 0.8.140. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou issu d’un fork soit mis à jour afin d’intégrer les nouveaux correctifs.

Remerciements :

Nous tenons à remercier Dhiraj Mishra pour sa collaboration sur ces problèmes dans le cadre du processus coordonné de divulgation.

Référence :

• https://www.cve.org/CVERecord?id=CVE-2026-5429
• https://kiro.dev/changelog/ide/0-8/#patch-0-8-140

 

Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.