공지 ID: 2026-012-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 4월 2일 오전 11시 30분(PST)

설명:

Kiro IDE는 개발자가 AI 에이전트의 도움을 받아 실제 엔지니어링 작업을 쉽게 출시할 수 있는 에이전트 개발 환경입니다.

CVE-2026-5429를 확인했습니다. 이로 인해 버전 0.8.140 이전의 Kiro IDE 내 Kiro Agent 웹뷰에서 웹 페이지를 생성할 때 입력 값이 제대로 검증되지 않아, 로컬 사용자가 작업 공간을 열 때 악의적으로 조작된 색상 테마 이름을 통해 인증되지 않은 원격 공격자가 임의의 코드를 실행할 수 있습니다. 이 문제는 메시지가 표시될 때 사용자가 작업 공간을 신뢰하는 경우 발생합니다.

영향을 받는 버전: 0.8.140 이전 버전

해결 방법:

이 문제는 Kiro IDE 버전 0.8.140에서 해결되었습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.

도움을 주신 분:

조정된 취약성 공개 프로세스에서 이 문제에 협력해 주신 Dhiraj Mishra 님께 감사합니다.

참조:

• https://www.cve.org/CVERecord?id=CVE-2026-5429
• https://kiro.dev/changelog/ide/0-8/#patch-0-8-140

 

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.