CVE-2026-9255
HighCVSS 7.8Summary
Brak walidacji źródła wejściowego w oknie autoryzacji narzędzi w Kiro CLI przed wersją 1.28.0 umożliwia lokalnemu atakującemu wykonanie dowolnych narzędzi, w tym poleceń powłoki, bez zgody użytkownika, poprzez przygotowanie treści przesyłanej do kiro-cli za pomocą stdin.
Risk Assessment
Organizacja może być narażona na nieautoryzowane wykonanie poleceń, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Recommendation
Zaleca się aktualizację do wersji kiro-cli 1.28.0 lub nowszej, aby zniwelować tę podatność.
Original NVD description (English source)
Missing input source validation in the tool authorization prompt in Kiro CLI before 1.28.0 allows a local attacker to execute arbitrary tools, including shell commands, without user approval by crafting content that is piped to kiro-cli via stdin. We recommend you to upgrade to kiro-cli version 1.28.0 or later.

