Passer au contenu principal

CVE-2026-12957 et CVE-2026-12958 – Vulnérabilités liées aux serveurs linguistiques pour AWS et aux plug-ins Amazon Q Developer

ID du bulletin : 2026-047-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 23/06/2026 à 9 h PDT

Description :

Les serveurs linguistiques pour AWS fournissent l’environnement d’exécution de serveur de langage sous-jacent qui alimente l’assistance au codage par IA d’Amazon Q Developer dans ses plug-ins d’IDE (Visual Studio Code, JetBrains, Eclipse et Visual Studio).

Nous avons identifié le problème CVE-2026-12957 concernant l’application incorrecte des limites de confiance dans les serveurs linguistiques pour AWS avant la version 1.65.0. Si un utilisateur local ouvre un espace de travail conçu de façon malveillante, les commandes contenues dans les fichiers de configuration du projet peuvent être exécutées automatiquement. Ce problème nécessite que l’utilisateur approuve l’espace de travail lorsqu’il y est invité.

Nous avons identifié le problème CVE-2026-12958 concernant l’absence de validation des liens symboliques dans les serveurs linguistiques pour AWS avant la version 1.69.0. Cela peut se produire lorsqu’un utilisateur local ouvre un espace de travail contenant un lien symbolique conçu de façon malveillante qui se résout en un chemin d’accès à un fichier situé hors de la limite de confiance de l’espace de travail.

Ces problèmes affectent les plug-ins d’IDE Amazon Q Developer, qui intègrent les serveurs linguistiques pour AWS. Les deux problèmes sont corrigés dans les serveurs linguistiques pour AWS version 1.69.0.

Produits et versions concernés :

  • Serveurs linguistiques pour AWS : < 1.69.0
  • Amazon Q Developer pour Visual Studio Code : < 2.20
  • Amazon Q Developer pour JetBrains : < 4.3
  • Amazon Q Developer pour Eclipse : < 2.7.4
  • AWS Toolkit avec Amazon Q pour Visual Studio : < 1.94.0.0

Résolution :

Ces problèmes ont été corrigés dans les serveurs linguistiques pour AWS version 1.69.0 et dans les versions correspondantes des plug-ins Amazon Q Developer qui intègrent cette version. Nous vous recommandons de passer à la dernière version de votre plug-in d’IDE Amazon Q Developer et de vous assurer que tout code forké ou dérivé a été corrigé afin d’intégrer les nouveaux correctifs.

Solutions de contournement :

Aucune solution de contournement n’est disponible.

Références :

Remerciements :

Nous tenons à remercier Wiz pour sa collaboration sur ce problème dans le cadre du processus coordonné de divulgation des vulnérabilités.


Veuillez envoyer un e-mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation concernant la sécurité.