CVE-2026-12957 und CVE-2026-12958 – Probleme in Language Servers für AWS und Plugins von Amazon Q Developer
Bulletin-ID: 2026-047-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 23.06.2026, 09.00 Uhr PDT
Beschreibung:
Language Servers für AWS stellen die zugrunde liegende Sprachserver-Laufzeit bereit, auf der die KI-Codierungsunterstützung von Amazon Q Developer in allen zugehörigen IDE-Plugins (Visual Studio Code, JetBrains, Eclipse und Visual Studio) basiert.
Wir haben die Schwachstelle CVE-2026-12957 identifiziert, ein Problem im Zusammenhang mit der unzureichenden Durchsetzung von Vertrauensgrenzen in Language Servers für AWS vor der Version 1.65.0. Wenn ein lokaler Benutzer einen manipulierten Workspace öffnet, können Befehle in den Dateien der Projektkonfiguration möglicherweise automatisch ausgeführt werden. Bei diesem Problem muss der Benutzer dem Workspace vertrauen, wenn er dazu aufgefordert wird.
Wir haben die Schwachstelle CVE-2026-12958 identifiziert, ein Problem aufgrund der fehlenden Symlink-Validierung in Language Servers für AWS vor der Version 1.69.0. Das Problem kann auftreten, wenn ein lokaler Benutzer einen Workspace mit einem manipulierten Symlink öffnet, der in einen Dateipfad außerhalb der Workspace-Vertrauensgrenze aufgelöst wird.
Diese Probleme betreffen die IDE-Plugins von Amazon Q Developer, die Language Servers für AWS bündeln. Beide Probleme wurden in der Version 1.69.0 von Language Servers für AWS behoben.
Betroffene Produkte und Versionen:
- Language Servers für AWS: < 1.69.0
- Amazon Q Developer für Visual Studio Code: < 2.20
- Amazon Q Developer für JetBrains: < 4.3
- Amazon Q Developer für Eclipse: < 2.7.4
- AWS Toolkit mit Amazon Q für Visual Studio: < 1.94.0.0
Lösung:
Diese Probleme wurden in der Version 1.69.0 von Language Servers für AWS und in den entsprechenden Plugin-Versionen von Amazon Q Developer behoben, die Language Servers für AWS bündeln. Sie sollten ein Upgrade auf die neueste Version Ihres IDE-Plugins von Amazon Q Developer vornehmen und dafür sorgen, dass geforkter oder derivativer Code gepatcht wird, damit die neuen Korrekturen enthalten sind.
- Amazon Q Developer für VS Code
- Amazon Q Developer für JetBrains
- Amazon Q Developer für Eclipse
- Amazon Q Developer für Visual Studio
Problemumgehungen:
Es sind keine Problemumgehungen verfügbar.
Referenzen:
Danksagung:
Wir möchten Wiz für die Zusammenarbeit bei diesem Problem im Rahmen des koordinierten Prozesses zur Offenlegung von Schwachstellen danken.
Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.