Pular para o conteúdo principal

CVE-2026-12957 e CVE-2026-12958 — Vulnerabilidades em servidores de linguagens para a AWS e nos plug-ins do Amazon Q Developer

ID do boletim: 2026-047-AWS
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data de publicação: 23/06/2026 09:00 PDT

Descrição:

Servidores de linguagens para a AWS fornecem o runtime do servidor de linguagem subjacente que possibilita a assistência à programação por IA do Q Developer em todos os seus plug-ins de IDE (Visual Studio Code, JetBrains, Eclipse e Visual Studio).

Identificamos a vulnerabilidade CVE-2026-12957, um problema relacionado à aplicação inadequada dos limites de confiança em servidores de linguagens para a AWS em versões anteriores à 1.65.0. Se um usuário local abrir um espaço de trabalho criado com intenção maliciosa, quaisquer comandos contidos nos arquivos de configuração do projeto poderão ser executados automaticamente. Esse problema exige que o usuário confie no espaço de trabalho quando solicitado.

Identificamos a vulnerabilidade CVE-2026-12958, uma falha de validação de links simbólicos em servidores de linguagens para a AWS em versões anteriores à 1.69.0. Isso pode ocorrer quando um usuário local abre um espaço de trabalho com um link simbólico criado com intenção maliciosa que aponta para um caminho de arquivo fora do limite de confiança do espaço de trabalho.

Esses problemas afetam os plug-ins do IDE Amazon Q Developer, que incluem os servidores de linguagens da AWS. Ambos os problemas foram corrigidos na versão 1.69.0 dos servidores de linguagens da AWS.

Produtos e versões afetados:

  • Servidores de linguagens para a AWS: < 1.69.0
  • Amazon Q Developer para Visual Studio Code: < 2.20
  • Amazon Q Developer para JetBrains: < 4.3
  • Amazon Q Developer para Eclipse: < 2.7.4
  • AWS Toolkit com Amazon Q para Visual Studio: < 1.94.0.0

Resolução:

Esses problemas foram resolvidos na versão 1.69.0 dos servidores de linguagens da AWS e nas versões correspondentes do plug-in do Amazon Q Developer que a incluem. Recomendamos que você faça a upgrade para a versão mais recente do plug-in do IDE Amazon Q Developer e verifique se todo código bifurcado ou derivado foi atualizado para incorporar as novas correções.

Soluções alternativas:

Nenhuma solução alternativa está disponível.

Referências:

Agradecimento:

Gostaríamos de agradecer à Wiz pela colaboração nesta questão por meio do processo coordenado de divulgação de vulnerabilidades.


Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação sobre segurança.