Passa al contenuto principale

CVE-2026-12957 e CVE-2026-12958 - Problemi in Language Servers per AWS e nei plugin di Amazon Q Developer

ID bollettino: 2026-047-AWS
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 23/06/2026 09:00 PDT

Descrizione:

Language Servers per AWS fornisce il runtime del server di linguaggio sottostante che alimenta l’assistenza al coding con l’IA di Amazon Q Developer attraverso i suoi plugin dell’IDE (Visual Studio Code, JetBrains, Eclipse e Visual Studio).

Abbiamo identificato la vulnerabilità CVE-2026-12957, un problema relativo all’applicazione di limiti di attendibilità impropri in Language Servers per AWS prima della versione 1.65.0. Se un utente locale apre un workspace compromesso, qualsiasi comando all’interno dei file di configurazione del progetto può essere eseguito automaticamente. Questo problema richiede all’utente di identificare il workspace come attendibile quando gli viene richiesto.

Abbiamo identificato la vulnerabilità CVE-2026-12958, un problema di convalida del collegamento simbolico mancante in Language Servers per AWS prima della versione 1.69.0. Ciò può verificarsi quando un utente locale apre un workspace con un collegamento simbolico compromesso che si risolve in un percorso di file al di fuori del limite di attendibilità del workspace.

Questi problemi riguardano i plugin dell’IDE di Amazon Q Developer, che includono Language Servers per AWS. Entrambi i problemi sono stati risolti nella versione 1.69.0 di Language Servers per AWS.

Prodotti e versioni interessati:

  • Language Servers per AWS: versione precedente alla 1.69.0
  • Amazon Q Developer per Visual Studio Code: versione precedente alla 2.20
  • Amazon Q Developer per JetBrains: versione precedente alla 4.3
  • Amazon Q Developer per Eclipse: versione precedente alla 2.7.4
  • Kit di strumenti AWS con Amazon Q per Visual Studio: versione precedente alla 1.94.0.0

Risoluzione:

questi problemi sono stati risolti nella versione 1.69.0 di Language Servers per AWS e nelle corrispondenti versioni dei plugin di Amazon Q Developer che lo includono. Per incorporare le nuove correzioni, consigliamo di eseguire l’aggiornamento alla versione più recente del plugin dell’IDE di Amazon Q Developer utilizzato e di assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.

Soluzioni alternative:

non sono disponibili soluzioni alternative.

Riferimenti:

Ringraziamenti:

desideriamo ringraziare Wiz per aver collaborato alla risoluzione di questo problema attraverso il processo di divulgazione coordinata delle vulnerabilità.


In caso di domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.