ID du bulletin : 2026-037-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 02/06/2026 à 8 h 45 (heure du Pacifique)

Description :

Kiro est un IDE agentique que les utilisateurs installent sur leur bureau. Nous avons identifié le problème CVE-2026-10591 : dans l’outil d’écriture de fichiers de l’IDE Kiro avant la version 0.11, des restrictions de contrôle d’accès insuffisantes peuvent permettre à des acteurs distants non authentifiés d’exécuter des commandes arbitraires au moyen d’instructions spécialement conçues provoquant des écritures vers des chemins sensibles à l’exécution (comme .vscode/tasks.json), ce qui active l’exécution automatique à l’ouverture d’un dossier.

Versions concernées : <0.11

Résolution :

Ce problème a été résolu dans la version 0.11 de l’IDE Kiro. Nous recommandons aux utilisateurs de mettre à niveau vers la dernière version.

Solutions de contournement :

Aucune solution de contournement n’est disponible.

Références :

• CVE-2026-10591

Remerciements :

Nous tenons à remercier Cymulate pour sa collaboration sur cette question dans le cadre du processus coordonné de divulgation des vulnérabilités.

Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.