ID bollettino: 2026-012-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 2/04/2026 11:30 PST

Descrizione:

l’IDE di Kiro è un ambiente di sviluppo agentico che consente agli sviluppatori di inviare facilmente il lavoro ingegneristico reale con l’aiuto di agenti IA.

Abbiamo identificato la vulnerabilità CVE-2026-5429, per cui durante la generazione di pagine Web nella webview dell’Agente di Kiro nell’IDE di Kiro, prima della versione 0.8.140, l’input impuro consente a un autore di minacce da remoto non autenticato di eseguire codice arbitrario tramite un nome del tema cromatico dannoso quando un utente locale apre il workspace. Questo problema richiede all’utente di identificare il workspace come attendibile quando gli viene richiesto.

Versioni interessate: < 0.8.140

Risoluzione:

questo problema è stato risolto nella versione 0.8.140 dell’IDE di Kiro. Per incorporare le nuove correzioni, consigliamo di eseguire l’aggiornamento alla versione più recente e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.

Ringraziamenti:

Desideriamo ringraziare Dhiraj Mishra per aver collaborato alla risoluzione di questi problemi attraverso il processo di divulgazione coordinata.

Riferimento:

• https://www.cve.org/CVERecord?id=CVE-2026-5429
• https://kiro.dev/changelog/ide/0-8/#patch-0-8-140

 

Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.