메인 콘텐츠로 건너뛰기

CVE-2026-12957 및 CVE-2026-12958 - AWS 및 Amazon Q Developer 플러그인용 언어 서버 관련 문제

공지 ID: 2026-047-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 6월 23일 오전 9시(PDT)

설명:

AWS용 언어 서버는 IDE 플러그인(Visual Studio Code, JetBrains, Eclipse 및 Visual Studio)에서 Amazon Q Developer의 AI 코딩 어시스턴트를 지원하는 기본 언어 서버 런타임을 제공합니다.

AWS용 언어 서버 1.65.0 이전 버전에서 신뢰 경계가 부적절하게 적용되는 문제인 CVE-2026-12957을 확인했습니다. 로컬 사용자가 악의적으로 조작된 워크스페이스를 열 경우, 프로젝트 구성 파일에 포함된 명령이 자동으로 실행될 수 있습니다. 이 문제는 메시지가 표시될 때 사용자가 워크스페이스를 신뢰하는 경우 발생합니다.

AWS용 언어 서버 1.69.0 이전 버전에서 심링크 검증 누락 문제인 CVE-2026-12958을 확인했습니다. 이는 로컬 사용자가 워크스페이스 신뢰 경계 외부의 파일 경로로 확인되는 악의적으로 조작된 심링크가 있는 워크스페이스를 열 때 발생합니다.

이러한 문제는 AWS용 언어 서버가 번들로 포함된 Amazon Q Developer IDE 플러그인에 영향을 미칩니다. 두 문제 모두 AWS용 언어 서버 1.69.0 버전에서 해결되었습니다.

영향을 받는 제품 및 버전:

  • AWS용 언어 서버: 1.69.0 이전 버전
  • Visual Studio Code용 Amazon Q Developer: 2.20 이전 버전
  • JetBrains용 Amazon Q Developer: 4.3 이전 버전
  • Eclipse용 Amazon Q Developer: 2.7.4 이전 버전
  • Visual Studio용 Amazon Q가 포함된 AWS Toolkit: 1.94.0.0 이전 버전

해결 방법:

이러한 문제는 AWS용 언어 서버 1.69.0 버전 및 이를 번들로 제공하는 해당 Amazon Q Developer 플러그인 릴리스에서 해결되었습니다. Amazon Q Developer IDE 플러그인을 최신 버전으로 업그레이드하고, 모든 포크 코드 또는 파생 코드가 패치되어 새로운 수정 사항을 반영하는지 확인하세요.

대안:

현재 사용 가능한 대안이 없습니다.

참고 사항:

도움을 주신 분:

조정된 취약성 공개 프로세스를 통해 이 문제 해결에 도움을 준 Wiz에 감사드립니다.


보안 관련 질문이나 우려 사항이 있는 경우 이메일 aws-security@amazon.com을 통해 문의하세요.