ID do boletim: 2026-037-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 02/06/2026 08:45 PDT

Descrição:

O Kiro é um IDE agêntico que os usuários instalam em seus desktops. Identificamos a vulnerabilidade CVE-2026-10591. Restrições insuficientes de controle de acesso na ferramenta de gravação de arquivos do Kiro IDE, em versões anteriores à 0.11, podem permitir que agentes remotos não autenticados executem comandos arbitrários por meio de instruções mal-intencionadas que causam gravações em caminhos sensíveis à execução (como .vscode/tasks.json), possibilitando a execução automática ao abrir a pasta.

Versões afetadas: <0.11

Resolução:

Esse problema foi resolvido na versão 0.11 do IDE Kiro. Recomendamos fazer o upgrade para a versão mais recente.

Soluções alternativas:

Nenhuma solução alternativa disponível.

Referências:

• CVE-2026-10591

Agradecimento:

Gostaríamos de agradecer ao Cymulate por colaborar nessa questão por meio do processo coordenado de divulgação de vulnerabilidades.

Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação sobre segurança.