速報 ID: 2026-012-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 4 月 2 日 午前 11 時 30 分 (PST)

説明:

Kiro IDE は、AI エージェントを使用してデベロッパーが実際のエンジニアリング作業の成果を容易にリリースできるようにするエージェンティック開発環境です。

当社は CVE-2026-5429 を特定しました。この脆弱性により、Kiro IDE バージョン 0.8.140 よりも前のバージョンの Kiro Agent Webview において、ウェブページの生成中にサニタイズされていない入力があると、ローカルユーザーがワークスペースを開いた際に、認証されていないリモートの攻撃者が、悪意をもって作成されたカラーテーマ名を介して任意のコードを実行できます。この問題は、ユーザーがプロンプトに従ってワークスペースを信頼した場合に発生します。

影響を受けるバージョン: < 0.8.140

解決方法:

この問題は、Kiro IDE バージョン 0.8.140 で解決されています。 最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。

謝辞:

協調的開示プロセスを通じてこれらの問題に協力してくださった Dhiraj Mishra 氏に感謝いたします。

参考情報:

• https://www.cve.org/CVERecord?id=CVE-2026-5429
• https://kiro.dev/changelog/ide/0-8/#patch-0-8-140

 

セキュリティに関する質問や懸念については、aws-security@amazon.com まで E メールでお問い合わせください。