W Amazon Q Developer wykryto poważną lukę bezpieczeństwa (CVE-2026-12957, CVSS 8.5), która umożliwiała złośliwym repozytoriom wykonanie kodu i kradzież poświadczeń chmurowych deweloperów. Błąd polegał na sposobie, w jaki asystent AI obsługiwał konfiguracje serwerów Model Context Protocol (MCP), pozwalając pojedynczemu plikowi konfiguracyjnemu na przejęcie pełnego środowiska dewelopera, w tym kluczy AWS i tokenów CLI. Amazon wydał już łatkę, aktualizując Language Servers for AWS do wersji 1.69.0, która zamyka również drugą lukę (CVE-2026-12958).
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)