Amazon Q 开发人员缺陷可能让恶意存储库通过 MCP 配置运行代码

2026-06-26 1 阅读 info@thehackernews.com (The Hacker News)

Amazon Q Developer 中的一个高严重性缺陷可让恶意存储库运行命令并窃取开发人员的云凭证。路径很短：开发人员打开存储库，信任工作区，然后 Amazon Q 完成剩下的工作。亚马逊已经修补了它。该漏洞编号为 CVE-2026-12957 (CVSS 8.5)，存在于亚马逊 AI 编码助手处理模型上下文协议 (MCP) 服务器的方式中。维兹

← 返回安全攻防