ID do boletim: 2026-008-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 16/03/2026 11:15 PDT
 

Descrição:

Uma verificação de propriedade do S3 ausente no Bedrock AgentCore Starter Toolkit antes da versão v0.1.13 pode permitir que um usuário remoto injete código durante o processo de criação, levando à execução desse código no AgentCore Runtime.

Versões afetadas: todas as versões do Bedrock AgentCore Starter Toolkit anteriores a v0.1.13. Esse problema afeta apenas os usuários do Bedrock AgentCore Starter Toolkit antes da versão v0.1.13 que criaram o Toolkit após 24 de setembro de 2025. Os usuários em uma versão >=v0.1.13 e em versões anteriores que criaram o toolkit antes de 24 de setembro de 2025 não são afetados.

Resolução:

Para solucionar esse problema, os clientes devem fazer upgrade para a versão v0.1.13 ou superior.

Referências:

• CVE-2026-4269
• GHSA-xfhr-q72q-jcrj

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.