Katalog CVE

CVE-2026-9255

WysokieCVSS 7.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Brak walidacji źródła wejściowego w oknie autoryzacji narzędzi w Kiro CLI przed wersją 1.28.0 umożliwia lokalnemu atakującemu wykonanie dowolnych narzędzi, w tym poleceń powłoki, bez zgody użytkownika, poprzez przygotowanie treści przesyłanej do kiro-cli za pomocą stdin.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowane wykonanie poleceń, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację do wersji kiro-cli 1.28.0 lub nowszej, aby zniwelować tę podatność.

Oryginalny opis (angielski, źródło NVD)

Missing input source validation in the tool authorization prompt in Kiro CLI before 1.28.0 allows a local attacker to execute arbitrary tools, including shell commands, without user approval by crafting content that is piped to kiro-cli via stdin. We recommend you to upgrade to kiro-cli version 1.28.0 or later.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS