漏洞概述 CVE-2026-12957:在 Language Servers for AWS 版本 1.65.0 之前存在一个不正确的信任边界执行问题。如果本地用户打开一个恶意构建的工作区,项目配置文件中的任何命令可能会被自动执行。此问题需要用户在提示时信任工作区。 CVE-2026-12958:在 Language Servers for AWS 版本 1.69.0 之前存在一个缺失的符号链接验证问题。当本地用户打开一个工作区时,如果符号链接解析到工作区信任边界之外的文件路径,可能会发生此问题。 影响范围 受影响的版本: - Language Servers for AWS: < 1.69.0 - Amazon Q Developer for Visual Studio Code: < 2.20 - Amazon Q Developer for JetBrains: < 4.3 - Amazon Q Developer for Eclipse: < 2.7.4 - AWS Toolkit with Amazon Q for Visual Studio: < 1.94.0.0 修复方案 修复版本:这些问题已在 Language Servers for AWS 版本 1.69.0 中解决,并相应地修复了 Amazon Q Developer IDE 插件。建议升级到最新版本的 Amazon Q Developer IDE 插件,并确保所有修复都已应用。 参考链接 CVE-2026-12957 CVE-2026-12958 GHSA-dv5c-4p5c-mvp5 GHSA-xhr-449-3ph7 致谢 感谢 Wiz 通过协调漏洞披露流程在此问题上进行合作。 联系方式 如有任何安全问题或疑虑,请发送邮件至 aws-security@amazon.com。