Уязвимость в Amazon Q Developer позволяла красть AWS‑учётные данные через конфигурационный файл в репозитории
Исследователи из Wiz Research нашли серьёзную уязвимость в инструменте Amazon Q Developer. Из‑за неё вредоносный репозиторий с кодом мог незаметно выполнять команды на компьютере разработчика и получать доступ к его учётным данным AWS.
Проблема была связана с конфигурационным файлом внутри клонированного репозитория. Когда разработчик работал с таким проектом, файл позволял запускать команды прямо на его машине, при этом явных признаков происходящего не возникало. Уязвимость получила идентификатор CVE-2026-12957.
Как сообщает The Next Web (TNW), Wiz Research уведомила Amazon о проблеме 20 апреля. Исправление компания выпустила 12 мая. Публично об уязвимости сообщили сегодня.
Ключевые факты
Уязвимость высокой степени серьезности в Amazon Q Developer позволяла вредоносному репозиторию кода незаметно выполнять команды на машине разработчика и похищать его учетные данные AWS.
Уязвимость обнаружена Wiz Research и отслеживается под идентификатором CVE-2026-12957.
Wiz Research сообщил об уязвимости Amazon 20 апреля.
Amazon выпустила исправление для проблемы 12 мая.