CVE-2026-12957 및 CVE-2026-12958 - AWS 및 Amazon Q Developer 플러그인용 언어 서버 관련 문제
공지 ID: 2026-047-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 6월 23일 오전 9시(PDT)
설명:
AWS용 언어 서버는 IDE 플러그인(Visual Studio Code, JetBrains, Eclipse 및 Visual Studio)에서 Amazon Q Developer의 AI 코딩 어시스턴트를 지원하는 기본 언어 서버 런타임을 제공합니다.
AWS용 언어 서버 1.65.0 이전 버전에서 신뢰 경계가 부적절하게 적용되는 문제인 CVE-2026-12957을 확인했습니다. 로컬 사용자가 악의적으로 조작된 워크스페이스를 열 경우, 프로젝트 구성 파일에 포함된 명령이 자동으로 실행될 수 있습니다. 이 문제는 메시지가 표시될 때 사용자가 워크스페이스를 신뢰하는 경우 발생합니다.
AWS용 언어 서버 1.69.0 이전 버전에서 심링크 검증 누락 문제인 CVE-2026-12958을 확인했습니다. 이는 로컬 사용자가 워크스페이스 신뢰 경계 외부의 파일 경로로 확인되는 악의적으로 조작된 심링크가 있는 워크스페이스를 열 때 발생합니다.
이러한 문제는 AWS용 언어 서버가 번들로 포함된 Amazon Q Developer IDE 플러그인에 영향을 미칩니다. 두 문제 모두 AWS용 언어 서버 1.69.0 버전에서 해결되었습니다.
영향을 받는 제품 및 버전:
- AWS용 언어 서버: 1.69.0 이전 버전
- Visual Studio Code용 Amazon Q Developer: 2.20 이전 버전
- JetBrains용 Amazon Q Developer: 4.3 이전 버전
- Eclipse용 Amazon Q Developer: 2.7.4 이전 버전
- Visual Studio용 Amazon Q가 포함된 AWS Toolkit: 1.94.0.0 이전 버전
해결 방법:
이러한 문제는 AWS용 언어 서버 1.69.0 버전 및 이를 번들로 제공하는 해당 Amazon Q Developer 플러그인 릴리스에서 해결되었습니다. Amazon Q Developer IDE 플러그인을 최신 버전으로 업그레이드하고, 모든 포크 코드 또는 파생 코드가 패치되어 새로운 수정 사항을 반영하는지 확인하세요.
- VS Code용 Amazon Q Developer
- JetBrains용 Amazon Q Developer
- Eclipse용 Amazon Q Developer
- Visual Studio용 Amazon Q Developer
대안:
현재 사용 가능한 대안이 없습니다.
참고 사항:
도움을 주신 분:
조정된 취약성 공개 프로세스를 통해 이 문제 해결에 도움을 준 Wiz에 감사드립니다.
보안 관련 질문이나 우려 사항이 있는 경우 이메일 aws-security@amazon.com을 통해 문의하세요.