Una falla de alta gravedad en Amazon Q Developer permite que un repositorio malicioso ejecute comandos y robe las credenciales de la nube del desarrollador. Este camino es corto: una vez que el desarrollador abre el repositorio y confía en el espacio de trabajo, Amazon Q hace el resto. Amazon me lo ha parcheado.
El error, rastreado como CVE-2026-12957 (CVSS 8.5), existía en la forma en que el Asistente de codificación AI de Amazon manejaba los servidores del Protocolo de contexto modelo (MCP).
Wiz Research, que descubrió e informó esto, demostró que un solo archivo de configuración colocado en un repositorio es suficiente para pasar de un clon de git a un compromiso en la nube.
Cómo funciona el ataque
Amazon Q lee el archivo de configuración de MCP .amazonq/mcp.json del espacio de trabajo abierto e inicia los servidores definidos. El servidor MCP es un proceso local que AI Assistant puede generar para acceder a bases de datos, API o herramientas de compilación, por lo que iniciar el servidor MCP significa ejecutar un comando en su máquina.
Estos procesos heredaron todo el entorno del desarrollador. Por lo general, esto significa una clave de AWS, un token de CLI en la nube, un secreto de API y un socket de agente SSH.
La combinación de los dos permite que los archivos en el repositorio clonado ejecuten código arbitrario conectado a la sesión en vivo en la nube del desarrollador. No se requiere contraseña ni un segundo inicio de sesión.
En una prueba de concepto, Wiz ejecutó aws sts get-caller-identity en un archivo, envió su salida al servidor del atacante y capturó sesiones activas de AWS. Lo que suceda a continuación depende de los privilegios de la nube del desarrollador. Ya sea mediante puertas traseras para la persistencia de los usuarios de IAM, accediendo a servicios internos o pasando a producción.
AWS y Wiz enmarcan el paso de consentimiento de manera diferente. El aviso de Amazon requiere que los usuarios confíen en el espacio de trabajo cuando se les solicite, y CVSS califica la interacción del usuario como pasiva.
Wiz informó que antes de la solución, no existía un procedimiento de consentimiento separado para el servidor MCP. Este parche llena ese vacío. Amazon Q ahora marca servidores MCP que no son de confianza, lo que permite a los desarrolladores rechazar comandos antes de ejecutarlos.
Esta falla existe en Language Servers para AWS, el tiempo de ejecución que impulsa Amazon Q en VS Code, JetBrains, Eclipse y Visual Studio. Los cuatro complementos incluyen esto, por lo que las versiones que enviaron copias anteriores tenían los cuatro expuestos.
que hacer
actualizar. CVE-2026-12957 se corrigió en los servidores de idiomas para AWS 1.65.0, pero el boletín de AWS indica a los clientes que migren a 1.69.0.
Esta compilación también resuelve un segundo problema, CVE-2026-12958, Falta de verificación de vínculo simbólico, que podría permitir escrituras arbitrarias de archivos fuera de los límites de confianza del espacio de trabajo.
Los valores mínimos para complementos parcheados son:
VS Code: 2.20 o posterior JetBrains: 4.3 o posterior Eclipse: 2.7.4 o posterior Visual Studio Toolkit: 1.94.0.0 o posterior
El servidor de idiomas se actualiza automáticamente a menos que la red lo bloquee, y al volver a cargar el IDE se obtendrá la última versión.
No se conocen abusos públicos. La entrada ADP de CISA para CVE-2026-12957 aparece como Ninguna. Wiz descubrió esta falla a través de una investigación y trabajó con Amazon para publicitarla, informándola el 20 de abril y confirmando que la solución llegaría el 12 de mayo antes de su disponibilidad pública el 26 de junio.
Un patrón, no algo único
Amazon Q no es el primer asistente de codificación que confía en MCP. Los bichos no son idénticos, pero riman. La configuración del proyecto cambia al comportamiento ejecutable y las comprobaciones de confianza en las transferencias siguen fallando.
El código Claude (CVE-2025-59536) y el Cursor (CVE-2025-54136) tenían configuraciones MCP a nivel de proyecto que conducían a la ejecución del comando. Windsurf (CVE-2026-30615) reescribió la configuración de MCP local con contenido controlado por el atacante para registrar un servidor malicioso y llegar al mismo final a través de una ruta diferente.
La conveniencia de tener un agente de IA configurado en una carpeta de proyecto también proporciona una superficie de ataque. Las configuraciones almacenadas en el repositorio son entradas que no son de confianza. Debe seleccionar explícitamente «Sí» para convertirlo en un proceso en ejecución.
Source link
