CVE-2026-12957 および CVE-2026-12958 – Language Servers for AWS および Amazon Q Developer プラグインにおける問題
速報 ID: 2026-047-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 6 月 23 日 午前 9 時 (PDT)
説明:
Language Servers for AWS は、Amazon Q Developer の IDE プラグイン (Visual Studio Code、JetBrains、Eclipse、Visual Studio) 全体で AI コーディング支援を支える基盤となる言語サーバーランタイムを提供しています。
当社では、バージョン 1.65.0 以前の Language Servers for AWS において、信頼境界の強制適用が不適切であるという問題 (CVE-2026-12957) を特定しました。悪意をもって作成されたワークスペースをローカルユーザーが開くと、プロジェクト設定ファイル内の任意のコマンドが自動的に実行される可能性があります。この問題は、ユーザーがプロンプトに従ってワークスペースを信頼した場合に発生します。
当社は、バージョン 1.69.0 以前の Language Servers for AWS において、シンボリックリンクの検証が欠落しているという問題 (CVE-2026-12958) を特定しました。これは、ワークスペースの信頼境界外にあるファイルパスに解決するように悪意をもって作成されたシンボリックリンクを含むワークスペースを、ローカルユーザーが開いた場合に発生する可能性があります。
これらの問題は、Language Servers for AWS をバンドルする Amazon Q Developer IDE プラグインに影響を及ぼします。いずれの問題も、Language Servers for AWS バージョン 1.69.0 で是正されています。
影響を受ける製品とバージョン:
- Language Servers for AWS: < 1.69.0
- Amazon Q Developer for Visual Studio Code: < 2.20
- Amazon Q Developer for JetBains: < 4.3
- Amazon Q Developer for Eclipse: < 2.7.4
- AWS Toolkit with Amazon Q for Visual Studio: < 1.94.0.0
解決方法:
これらの問題は、Language Servers for AWS バージョン 1.69.0、およびそれをバンドルする、Amazon Q Developer プラグインの対応するリリースで対処済みです。Amazon Q Developer IDE プラグインの最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。
- Amazon Q Developer for VS Code
- Amazon Q Developer for JetBrains
- Amazon Q Developer for Eclipse
- Amazon Q Developer for Visual Studio
回避策:
利用可能な回避策はありません。
参考情報:
謝辞:
協調的脆弱性開示プロセスを通じてこの問題に協力してくださった Wiz に感謝いたします。
セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。