RSS AWS 最新バULLETINS フォロー CVE-2026-12530 - AWS Bedrock AgentCore Python SDK install_packages() における引数区切り文字の不適切な中和 AWS は、Bedrock AgentCore Python SDK に関するセキュリティ情報を公開しました。CVE-2026-12530 として特定された脆弱性が、Code Interpreter クライアントの install_packages() メソッドで発見されました。このメソッドは、シェルコマンドで使用されるパッケージ名の引数を十分にサニタイズしていませんでした。具体的には、不完全なブロックリストにより、細工された入力が検証をバイパスすることが可能でした。このバイパスにより、pip の --index-url フラグを悪用して、パッケージのインストールを悪意のあるサードパーティサーバーにリダイレクトすることが可能になります。さらに、-r フラグを使用して、Code Interpreter サンドボックス内の任意のファイルを読み取り、公開することが可能でした。SDK の脆弱性のあるバージョンは、1.1.3 から 1.6.1 未満です。これらのバージョンを使用している開発者は、直ちに行動を起こすことを強く推奨します。詳細および最新の情報は、提供された記事で確認できます。 CVE-2026-12530 - Improper neutralization of argument delimiters in AWS Bedrock AgentCore Python SDK install_packages() aws.amazon.com
install_packages()メソッドで発見されました。このメソッドは、シェルコマンドで使用されるパッケージ名の引数を十分にサニタイズしていませんでした。具体的には、不完全なブロックリストにより、細工された入力が検証をバイパスすることが可能でした。このバイパスにより、pip の--index-urlフラグを悪用して、パッケージのインストールを悪意のあるサードパーティサーバーにリダイレクトすることが可能になります。さらに、-rフラグを使用して、Code Interpreter サンドボックス内の任意のファイルを読み取り、公開することが可能でした。SDK の脆弱性のあるバージョンは、1.1.3 から 1.6.1 未満です。これらのバージョンを使用している開発者は、直ちに行動を起こすことを強く推奨します。詳細および最新の情報は、提供された記事で確認できます。