公告 ID：2026-037-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 6 月 2 日上午 8:45 (太平洋夏令時間)

描述：

Kiro 是使用者在桌面上安裝的代理 IDE。我們發現了編號為 CVE-2026-10591 的漏洞。在 Kiro IDE 0.11 版之前的版本中，檔案寫入工具的存取控管限制不足，可能導致遠端未經身分驗證的攻擊者透過特製指令，將檔案寫入執行敏感路徑 (例如 .vscode/tasks.json)，從而在使用者開啟資料夾時觸發自動執行，藉此執行任意命令。

受影響版本：<0.11

解決方案：

此問題已在 Kiro IDE 版本 0.11 中得以解決。建議升級至最新版本。

變通方法：

沒有可用的變通方法。

參考資料：

• CVE-2026-10591

致謝：

我們誠摯感謝 Cymulate 透過協調的漏洞披露程序，與我們協作解決此問題。

如有任何安全問題或疑慮，請傳送電子郵件至 aws-security@amazon.com。