Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Ранливост во Amazon Q Developer можеше да им овозможи на малициозни репозиториуми да извршуваат код преку MCP конфигурации

Објавено: 29.06.2026

Критична ранливост со висок степен на сериозност во Amazon Q Developer можела да му овозможи на малициозен репозиториум да извршува команди и да ги украде cloud акредитивите на развивачот. Сценариото за напад било едноставно: развивачот го отвора репозиториумот, му верува на работниот простор (workspace), а Amazon Q автоматски го извршува останатиот дел од процесот. Amazon веќе ја има отстрането ранливоста.

Ранливоста се следи под ознаката CVE-2026-12957 и има CVSS оценка 8.5. Проблемот се наоѓал во начинот на кој AI асистентот за програмирање Amazon Q Developer управувал со Model Context Protocol (MCP) серверите.

Компанијата Wiz Research, која ја открила и пријавила ранливоста, покажала дека една единствена конфигурациска датотека поставена во репозиториум била доволна за напаѓачот да премине од едноставно git clone до компромитирање на cloud околината на развивачот.

Како функционирал нападот

Amazon Q автоматски ја читала MCP конфигурациската датотека .amazonq/mcp.json од отворениот работен простор и ги стартувала MCP серверите дефинирани во неа.

MCP серверите се локални процеси што AI асистентот може да ги стартува за да комуницира со:

  • бази на податоци;
  • API-интерфејси;
  • алатки за компајлирање и изградба на проекти (build tools).

Тоа значи дека нивното стартување практично претставува извршување команди на компјутерот на развивачот.

Овие процеси ги наследувале сите променливи од околината (environment variables) на развивачот, што вообичаено вклучува:

  • AWS пристапни клучеви;
  • токени за cloud CLI алатки;
  • API тајни (API secrets);
  • SSH Agent сокети.

Со комбинирање на овие две околности, една конфигурациска датотека сместена во клониран репозиториум можела да извршува произволен код со пристап до активната cloud сесија на развивачот – без повторно внесување лозинка или дополнителна автентикација.

Во својата Proof-of-Concept (PoC) демонстрација, истражувачите од Wiz покажале дека конфигурациската датотека ја извршува командата:

aws sts get-caller-identity

Потоа резултатот автоматски бил испратен до сервер контролиран од напаѓачот, со што се добивал пристап до активната AWS сесија на развивачот.

Што ќе се случи понатаму зависи од дозволите што ги има компромитираниот корисник во AWS околината. Потенцијалните последици вклучуваат:

  • создавање задна врата (backdoor) преку IAM корисник за траен пристап;
  • пристап до внатрешни cloud сервиси;
  • понатамошно движење (pivoting) кон продукциските системи.

Различни гледишта за корисничката согласност

AWS и Wiz различно го толкуваат прашањето за согласноста на корисникот.

Во своето безбедносно известување, Amazon наведува дека корисникот мора да му верува на работниот простор (workspace) кога ќе биде побарано тоа, а според CVSS, потребната интеракција од страна на корисникот се смета за пасивна.

Од друга страна, Wiz наведува дека пред објавувањето на закрпата не постоел посебен чекор за потврда пред стартувањето на MCP серверите.

Со новата безбедносна исправка, овој недостаток е отстранет. Amazon Q сега препознава кога MCP серверот доаѓа од недоверлив извор и го предупредува развивачот, овозможувајќи му да ја одбие командата пред таа да се изврши.

Ранливоста се наоѓа во Language Servers for AWS – извршната компонента што го напојува Amazon Q Developer во Visual Studio Code, JetBrains, Eclipse и Microsoft Visual Studio. Бидејќи сите четири приклучоци (plugins) ја вклучуваат оваа компонента, сите биле ранливи доколку користеле постара верзија.

Што треба да направат корисниците?

Најважната препорака е веднаш да се ажурира софтверот.

Ранливоста CVE-2026-12957 е отстранета во Language Servers for AWS 1.65.0, но AWS во своето безбедносно известување им препорачува на корисниците да преминат на верзија 1.69.0.

Оваа верзија, исто така, ја отстранува и втората ранливост – CVE-2026-12958, која се должи на недостиг од проверка на симболички врски (symlinks). Овој пропуст можел да овозможи запишување произволни датотеки надвор од границите на доверливиот работен простор (workspace).

Минималните безбедни верзии на приклучоците се:

  • Visual Studio Code: 2.20 или понова;
  • JetBrains: 4.3 или понова;
  • Eclipse: 2.7.4 или понова;
  • Visual Studio Toolkit: 1.94.0.0 или понова.

Компонентата Language Servers for AWS вообичаено се ажурира автоматски, освен ако мрежните политики не го блокираат ажурирањето. Повторното стартување (reload) на развојната околина (IDE) ќе ја преземе најновата верзија.

Во моментов не се познати случаи на јавно искористување на ранливоста. Во записот на CISA ADP за CVE-2026-12957 е наведено дека нема докази за активна злоупотреба.

Компанијата Wiz ја открила ранливоста во рамките на сопствено безбедносно истражување и ја пријавила во координација со Amazon. Ранливоста била пријавена на 20 април, поправката била објавена на 12 мај, а јавниот технички извештај бил објавен на 26 јуни.

Не е изолиран случај

Според истражувачите, Amazon Q не е првиот AI асистент за програмирање што се соочува со проблеми поврзани со довербата во Model Context Protocol (MCP).

Иако ранливостите не се идентични, сите следат сличен модел: конфигурацијата на проектот се претвора во извршлив код, а механизмите што треба да ја проверуваат доверливоста на тој процес не успеваат да обезбедат соодветна заштита.

Претходно слични ранливости беа откриени и кај:

  • Claude Code (CVE-2025-59536) – конфигурацијата на MCP на ниво на проект можела да доведе до извршување команди;
  • Cursor (CVE-2025-54136) – исто така дозволувал извршување команди преку проектна MCP конфигурација;
  • Windsurf (CVE-2026-30615) – напаѓачот можел да ја измени локалната MCP конфигурација со злонамерна содржина и да регистрира малициозен MCP сервер.

Истражувачите заклучуваат дека погодноста проектната папка автоматски да го конфигурира AI асистентот истовремено претставува и сериозна површина за напад.

Конфигурациските датотеки што доаѓаат заедно со репозиториумот треба да се третираат како недоверлив влез (untrusted input). Нивното претворање во активен процес што се извршува на системот на корисникот треба секогаш да бара јасна и експлицитна согласност од корисникот.

Извори:

  • The Hacker News – Amazon Q Developer Flaw Could Let Malicious Repos Run Code via MCP Configs The Hacker News