CVE-2026-10591
HighCVSS 8.8Summary
W narzędziu do zapisu plików w Amazon Kiro IDE przed wersją 0.11 występują niewystarczające ograniczenia kontroli dostępu, co może pozwolić zdalnym, nieautoryzowanym podmiotom na wykonywanie dowolnych poleceń poprzez spreparowane instrukcje. Może to prowadzić do automatycznego wykonania kodu przy otwieraniu folderu.
Risk Assessment
Organizacja może być narażona na zdalne wykonanie nieautoryzowanych poleceń, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Recommendation
Zaleca się aktualizację do Kiro IDE w wersji 0.11 lub nowszej, aby usunąć tę podatność.
Original NVD description (English source)
Insufficient access control restrictions in the file write tool in Amazon Kiro IDE before version 0.11 might allow remote unauthenticated actors to execute arbitrary commands via crafted instructions that cause writes to execution-sensitive paths (such as .vscode/tasks.json), enabling auto-execution on folder open. To remediate this issue, users should upgrade to Kiro IDE version 0.11 or later.

