速報 ID: 2026-037-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 6 月 2 日 午前 8 時 45 分 (PDT)

説明:

Kiro は、ユーザーがデスクトップにインストールするエージェンティック IDE です。AWS では CVE-2026-10591 を特定しました。バージョン 0.11 以前の Kiro IDE のファイル書き込みツールのアクセス制御制限が不十分なため、認証されていないリモートのアクターが、細工された命令を介して任意のコマンドを実行し、実行に直結するパス (.vscode/tasks.json など) に書き込むことが可能になることがあり、フォルダーを開いたときに自動実行が有効になります。

影響を受けるバージョン: <0.11

解決方法:

この問題は、Kiro IDE バージョン 0.11 で解決されています。最新バージョンにアップグレードすることをお勧めします。

回避策:

回避策はありません。

参考情報:

• CVE-2026-10591

謝辞:

協調的脆弱性開示プロセスを通じてこの問題に協力してくださった Cymulate に感謝いたします。

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。