CVE-2026-12957 和 CVE-2026-12958 – AWS 語言伺服器和 Amazon Q Developer 外掛程式的問題
公告 ID:2026-047-AWS
範圍:AWS
內容類型:重要 (需要注意)
發布日期:2026 年 6 月 23 日上午 9:00 (太平洋夏令時間)
描述:
AWS 語言伺服器提供基礎的語言伺服器執行時期,用以支援 Amazon Q Developer 在各大 IDE 外掛程式 (包含 Visual Studio Code、JetBrains、Eclipse 及 Visual Studio) 中的 AI 輔助編碼功能。
我們發現了編號為 CVE-2026-12957 的漏洞,此為「AWS 語言伺服器」在 1.65.0 版本之前存在的信任邊界強制執行不當問題。如果本機使用者開啟了惡意建構的工作區,專案組態檔中的任何命令皆可能遭到自動執行。此問題需要使用者在收到提示時選擇信任該工作區。
此外,我們亦發現了編號為 CVE-2026-12958 的漏洞,此為「AWS 語言伺服器」在 1.69.0 版本之前存在的符號連結驗證遺漏問題。當本機使用者開啟的工作區中包含惡意建構的符號連結,且該連結指向工作區信任邊界之外的路徑時,即可能觸發此問題。
上述問題會影響內含「AWS 語言伺服器」的 Amazon Q Developer IDE 外掛程式。這兩個問題皆已於「AWS 語言伺服器」1.69.0 版本中完成修復。
受影響的產品和版本:
- AWS 語言伺服器:版本低於 1.69.0
- Amazon Q Developer for Visual Studio Code:版本低於 2.20
- Amazon Q Developer for JetBrains:版本低於 4.3
- Amazon Q Developer for Eclipse:版本低於 2.7.4
- AWS Toolkit with Amazon Q for Visual Studio:版本低於 1.94.0.0
解決方案:
上述問題已於「AWS 語言伺服器」1.69.0 版本及內含該修補程式的對應 Amazon Q Developer 外掛程式版本中得以解決。建議您升級至 Amazon Q Developer IDE 外掛程式的最新版本,並確保所有分支或衍生程式碼皆已套用修補程式,以納入最新修正。
- Amazon Q Developer for VS Code
- Amazon Q Developer for JetBrains
- Amazon Q Developer for Eclipse
- Amazon Q Developer for Visual Studio
變通方法:
沒有可用的變通方法。
參考資料:
致謝:
我們誠摯感謝 Wiz 透過協調的漏洞披露程序,與我們協作解決此問題。
如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com。