Katalog CVE

CVE-2026-11393

KrytyczneCVSS 9.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

Nieprawidłowe neutralizowanie znaków potrójnego cudzysłowu podczas generowania kodu Pythona w AgentCore CLI przed wersją 0.14.2 może umożliwić uwierzytelnionemu zdalnemu atakującemu wykonanie dowolnego kodu na AWS AgentCore Runtime w ramach roli wykonawczej IAM importowanego agenta oraz w lokalnym środowisku innego użytkownika w tym samym koncie AWS.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania złośliwego kodu, co może prowadzić do kompromitacji danych i zasobów w organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 0.14.2, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Improper neutralization of triple-quote characters during Python code generation in AgentCore CLI before v0.14.2 might allow an authenticated remote threat actor to execute arbitrary code on AWS AgentCore Runtime under the imported agent's IAM execution role and on the local environment of another user in the same AWS account, via a crafted collaborationInstruction stored on a Bedrock Agent collaborator and later processed by that other user during agent import. To remediate this issue, users should upgrade to version 0.14.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS