公告 ID：2026-012-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 4 月 2 日上午 11:30 (太平洋標準時間)

描述：

Kiro IDE 是代理式開發環境，可讓開發人員在 AI 代理程式的協助下，輕鬆完成實際的工程開發工作。

我們已確認 CVE-2026-5429 漏洞。在 Kiro IDE 0.8.140 之前版本中，Kiro Agent 的 Webview 於網頁產生過程中未對輸入內容進行適當的清理，導致遠端未經身分驗證的攻擊者可透過惡意建構的色彩主題名稱，在本機使用者開啟該工作區時執行任意程式碼。此問題需要使用者在收到提示時選擇信任該工作區。

受影響版本：< 0.8.140

解決方案：

此問題已在 Kiro IDE 版本 0.8.140 中得到解決。 建議您升級至最新版本，同時確保對任何分支或衍生程式碼進行了修補，以包含新的修正。

致謝：

我們感謝 Dhiraj Mishra 透過協同披露流程與我們合作處理這些問題。

參考資料：

• https://www.cve.org/CVERecord?id=CVE-2026-5429
• https://kiro.dev/changelog/ide/0-8/#patch-0-8-140

 

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。