跳至主要內容

CVE-2026-12957 和 CVE-2026-12958 – AWS 語言伺服器和 Amazon Q Developer 外掛程式的問題

公告 ID:2026-047-AWS
範圍:AWS
內容類型:重要 (需要注意)
發布日期:2026 年 6 月 23 日上午 9:00 (太平洋夏令時間)

描述:

AWS 語言伺服器提供基礎的語言伺服器執行時期,用以支援 Amazon Q Developer 在各大 IDE 外掛程式 (包含 Visual Studio Code、JetBrains、Eclipse 及 Visual Studio) 中的 AI 輔助編碼功能。

我們發現了編號為 CVE-2026-12957 的漏洞,此為「AWS 語言伺服器」在 1.65.0 版本之前存在的信任邊界強制執行不當問題。如果本機使用者開啟了惡意建構的工作區,專案組態檔中的任何命令皆可能遭到自動執行。此問題需要使用者在收到提示時選擇信任該工作區。

此外,我們亦發現了編號為 CVE-2026-12958 的漏洞,此為「AWS 語言伺服器」在 1.69.0 版本之前存在的符號連結驗證遺漏問題。當本機使用者開啟的工作區中包含惡意建構的符號連結,且該連結指向工作區信任邊界之外的路徑時,即可能觸發此問題。

上述問題會影響內含「AWS 語言伺服器」的 Amazon Q Developer IDE 外掛程式。這兩個問題皆已於「AWS 語言伺服器」1.69.0 版本中完成修復。

受影響的產品和版本:

  • AWS 語言伺服器:版本低於 1.69.0
  • Amazon Q Developer for Visual Studio Code:版本低於 2.20
  • Amazon Q Developer for JetBrains:版本低於 4.3
  • Amazon Q Developer for Eclipse:版本低於 2.7.4
  • AWS Toolkit with Amazon Q for Visual Studio:版本低於 1.94.0.0

解決方案:

上述問題已於「AWS 語言伺服器」1.69.0 版本及內含該修補程式的對應 Amazon Q Developer 外掛程式版本中得以解決。建議您升級至 Amazon Q Developer IDE 外掛程式的最新版本,並確保所有分支或衍生程式碼皆已套用修補程式,以納入最新修正。

變通方法:

沒有可用的變通方法。

參考資料:

致謝:

我們誠摯感謝 Wiz 透過協調的漏洞披露程序,與我們協作解決此問題。


如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com