つみかさね

CVE-2026-10591

High(8.8)

CVE-2026-10591 — Amazon Kiro IDE ファイル書き込みによる任意コマンド実行

公開日: 2026-06-07データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Amazon Kiro IDEAmazon Web Services< 0.11

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1Amazon Kiro IDEのバージョンを確認する
  2. 20.11未満の場合はKiro IDE 0.11以降へアップグレードする
  3. 3アップグレードまでの間、信頼できないソースからの指示をエージェントに与えないよう注意する
  4. 4.vscode/tasks.jsonなどの設定ファイルに不審な変更がないか確認する

影響対象

Amazon Kiro IDE利用者AWS開発環境利用者

補足

  • -AI支援IDEのエージェント機能はファイルシステムへのアクセスを伴うため、アクセス制御の確認を定期的に行うことを推奨します
CVEAmazonKiro IDEIDE任意コマンド実行アクセス制御不備

概要

Amazon Kiro IDE(バージョン0.11未満)のファイル書き込みツールにアクセス制御の不備(CWE-732)が存在します。

遠隔の未認証攻撃者が細工された指示をKiro IDEのエージェントへ送ることで、.vscode/tasks.jsonなどの実行に敏感なパスへファイルを書き込める可能性があります。このようなファイルへの書き込みが成功した場合、VSCodeやKiro IDEがフォルダを開いた際に記述されたコマンドが自動実行されます。

AI支援IDEが普及する中で、エージェント機能のアクセス制御は重要なセキュリティ境界です。Kiro IDE 0.11ではこの問題が修正されています。

CVSSベクトル

項目
スコア8.8 (High)
CWECWE-732 (重要なリソースへの不適切なパーミッション設定)
攻撃元区分ネットワーク(AV:N)
攻撃の複雑さ低(AC:L)
必要な権限不要(PR:N)
ユーザー関与要(UI:R: フォルダを開く操作)
スコープ変更なし(S:U)
機密性への影響高(C:H)
完全性への影響高(I:H)
可用性への影響高(A:H)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Amazon Kiro IDEAmazon Web Services< 0.11

修正バージョンと回避策

修正: Kiro IDE 0.11以降へアップグレードしてください。

  • AWSセキュリティブレティン: 2026-037-aws
  • Kiro IDEチェンジログ: 0.11

回避策(暫定):

  • 信頼できないソースからの指示をKiro IDEエージェントに与えない
  • .vscode/tasks.jsonなどの設定ファイルへの変更を定期的に監視する
  • バージョン0.11への早期アップグレードを優先する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-9126Google Chrome DOM Use-after-freeCVSS 8.8CVE-2026-21708Veeam Backup Backup Viewer RCECVSS 9.9

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-10591
AWS Security Bulletin:https://aws.amazon.com/security/security-bulletins/2026-037-aws/
Kiro IDE Changelog:https://kiro.dev/changelog/ide/0-11/
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。