К содержанию
Новости

Уязвимость в Amazon Q Developer позволяла красть AWS‑учётные данные через конфигурационный файл в репозитории

Исследователи из Wiz Research нашли серьёзную уязвимость в инструменте Amazon Q Developer. Из‑за неё вредоносный репозиторий с кодом мог незаметно выполнять команды на компьютере разработчика и получать доступ к его учётным данным AWS.

Проблема была связана с конфигурационным файлом внутри клонированного репозитория. Когда разработчик работал с таким проектом, файл позволял запускать команды прямо на его машине, при этом явных признаков происходящего не возникало. Уязвимость получила идентификатор CVE-2026-12957.

Как сообщает The Next Web (TNW), Wiz Research уведомила Amazon о проблеме 20 апреля. Исправление компания выпустила 12 мая. Публично об уязвимости сообщили сегодня.

Ключевые факты

  • Уязвимость высокой степени серьезности в Amazon Q Developer позволяла вредоносному репозиторию кода незаметно выполнять команды на машине разработчика и похищать его учетные данные AWS.

  • Уязвимость обнаружена Wiz Research и отслеживается под идентификатором CVE-2026-12957.

  • Wiz Research сообщил об уязвимости Amazon 20 апреля.

  • Amazon выпустила исправление для проблемы 12 мая.