Amazon corrige falhas críticas em extensões do Amazon Q Developer

Uma vulnerabilidade de alta gravidade no Amazon Q Developer poderia permitir que invasores executassem comandos e roubassem credenciais de nuvem quando um desenvolvedor abrisse um repositório malicioso no ambiente de programação. As falhas foram identificadas como CVE-2026-12957 e CVE-2026-12958 e afetam extensões do Amazon Q para ferramentas como Visual Studio Code, JetBrains, Eclipse e Visual Studio.

O problema estava na forma como o assistente carregava configurações de servidores MCP presentes dentro do próprio projeto. Em versões vulneráveis, essas configurações podiam ser executadas automaticamente sem confirmação clara do usuário.

Na prática, bastava que a vítima abrisse um repositório preparado pelo invasor com o Amazon Q ativo. A partir disso, comandos definidos em arquivos ocultos do projeto podiam ser executados silenciosamente.

Pesquisadores da Wiz demonstraram que um único arquivo malicioso dentro da pasta .amazonq seria suficiente para enviar credenciais ativas para um servidor controlado pelo atacante, sem cliques adicionais ou avisos visíveis.

A Amazon corrigiu as falhas em versões recentes dos plugins e do AWS Language Server. Os desenvolvedores devem atualizar imediatamente as extensões do Amazon Q, reiniciar o ambiente de programação.

Leia mais na mesma categoria:

NotíciasPatches e CorreçõesVulnerabilidades