Sari la continut
miercuri, 15 iulie 2026
TechInfos.ro

Laboratorul stirilor tech

Cyber

O vulnerabilitate critica in Amazon Q Developer permitea furtul de credentiale cloud

O vulnerabilitate de securitate in Amazon Q Developer permitea atacatorilor sa ruleze comenzi si sa fure credentiale cloud printr-un simplu proiect malitios.

TI 28 iunie 2026 4 min read
Pe scurt
  • O vulnerabilitate de securitate in Amazon Q Developer permitea atacatorilor sa ruleze comenzi si sa fure credentiale cloud printr-un simplu proiect malitios.
Continua analiza

O vulnerabilitate de securitate critica, urmarita ca CVE-2026-12957 si cu scor CVSS 8.5, a fost descoperita in asistentul AI pentru dezvoltatori Amazon Q Developer. Aceasta permitea unui depozit malitios sa ruleze comenzi si sa fure credentialele cloud ale dezvoltatorului, exploatand modul in care instrumentul gestiona serverele Model Context Protocol (MCP).

Ce s-a descoperit

Cercetatorii de la Wiz au identificat ca Amazon Q Developer configura automat servere MCP atunci cand un dezvoltator deschidea un proiect si aproba trust-ul pentru workspace. Un atacator putea insera configuratii MCP rau intentionate intr-un depozit aparent inofensiv, iar atunci cand dezvoltatorul il deschidea cu Amazon Q, asistentul executa comenzile specificate, inclusiv furtul de credentiale.

Cum functiona atacul

Vectorul de atac era simplu: un dezvoltator deschidea un repository malitios, aproba trust-ul pentru workspace, iar Amazon Q, prin modulul sau de integrare MCP, incarca configuratia si executa comenzile atasate. Astfel, atacatorii puteau prelua chei AWS, token-uri de acces si alte secrete, fara ca dezvoltatorul sa observe ceva neobisnuit. Vulnerabilitatea era prezenta independent de platforma de operare.

Ce a facut Amazon

Amazon a remediat problema intr-o actualizare de securitate, iar acum Amazon Q Developer nu mai executa automat configuratii MCP din depozite externe fara verificari suplimentare. Compania recomanda dezvoltatorilor sa actualizeze instrumentul la cea mai recenta versiune si sa fie atenti la proiectele pe care le deschid.

Ce inseamna pentru tine

  • Actualizeaza imediat Amazon Q Developer la ultima versiune pentru a beneficia de patch-ul de securitate.
  • Fii precaut cand deschizi proiecte din surse necunoscute si verifica intotdeauna configuratiile MCP incluse.
  • Pastreaza credentialele cloud stocate in locatii sigure si limiteaza permisiunile acolo unde este posibil.

Surse

Ai ajuns la final
Tech Brief

Cele mai importante stiri tech, intr-un format scurt.

Primeste sinteza zilnica AI, cyber si gadgeturi direct in inbox.