ID do boletim: 2026-012-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 2/4/2026 11:30 PST

Descrição:

O Kiro IDE é um ambiente de desenvolvimento agêntico que ajuda os desenvolvedores a entregarem trabalho de engenharia real com o auxílio de agentes de IA.

Identificamos a vulnerabilidade CVE-2026-5429, na qual entradas não saneadas durante a geração de páginas da web na webview Kiro Agent do Kiro IDE, em versões anteriores à 0.8.140, permitem que um agente de ameaça remoto e não autenticado execute código arbitrário por meio de um nome de tema de cores manipulado de forma mal-intencionada quando um usuário local abre o espaço de trabalho. Esse problema exige que o usuário confie no espaço de trabalho quando solicitado.

Versões afetadas:  < 0.8.140

Resolução:

Esse problema foi resolvido na versão 0.8.140 do IDE Kiro. Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Agradecimento:

Gostaríamos de agradecer a Dhiraj Mishra pela colaboração nessas questões por meio do processo de divulgação coordenada.

Referência:

• https://www.cve.org/CVERecord?id=CVE-2026-5429
• https://kiro.dev/changelog/ide/0-8/#patch-0-8-140

 

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.