CVE-2026-12957 y CVE-2026-12958: Problemas en Language Servers para AWS y los complementos de Amazon Q Developer
ID del boletín: 2026-047-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 23/06/2026 09:00 h PDT
Descripción:
Language Servers para AWS proporciona el entorno de ejecución de servidores lingüísticos subyacentes que impulsa la asistencia para la programación con IA de Amazon Q Developer en sus complementos de IDE (Visual Studio Code, JetBrains, Eclipse y Visual Studio).
Identificamos la vulnerabilidad CVE-2026-12957, un problema de aplicación incorrecta del límite de confianza en las versiones de Language Servers para AWS anteriores a la 1.65.0. Si un usuario local abre un espacio de trabajo creado con fines malintencionados, los comandos incluidos en los archivos de configuración del proyecto podrían ejecutarse automáticamente. Este problema requiere que el usuario confíe en el espacio de trabajo cuando se le pida.
Identificamos la vulnerabilidad CVE-2026-12958, un problema de falta de validación de enlaces simbólicos en las versiones de Language Servers para AWS anteriores a la 1.69.0. Esto puede ocurrir cuando un usuario local abre un espacio de trabajo con un enlace simbólico creado con fines malintencionados que se resuelve en una ruta de archivo fuera del límite de confianza del espacio de trabajo.
Estos problemas afectan a los complementos de IDE de Amazon Q Developer, que incluyen Language Servers para AWS. Ambos problemas se solucionan en la versión 1.69.0 de Language Servers para AWS.
Versiones y productos afectados:
- Language Servers para AWS: < 1.69.0
- Amazon Q Developer para Visual Studio Code: < 2.20
- Amazon Q Developer para JetBrains: < 4.3
- Amazon Q Developer para Eclipse: < 2.7.4
- Kit de herramientas de AWS con Amazon Q para Visual Studio: < 1.94.0.0
Resolución:
Estos problemas se han solucionado en la versión 1.69.0 de Language Servers para AWS y en las correspondientes versiones de los complementos de Amazon Q Developer que la incluyen. Recomendamos actualizar a la versión más reciente de su complemento de IDE de Amazon Q Developer y asegurarse de que todo código bifurcado o derivado tenga aplicados los parches para incorporar las nuevas correcciones.
- Amazon Q Developer para VS Code
- Amazon Q Developer para JetBrains
- Amazon Q Developer para Eclipse
- Amazon Q Developer para Visual Studio
Soluciones alternativas:
No hay soluciones alternativas disponibles.
Referencias:
Reconocimiento:
Agradecemos a Wiz por colaborar en este asunto a través del proceso coordinado de divulgación de vulnerabilidades.
Si tiene alguna pregunta o inquietud sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.