게시판 ID: 2026-040-AWS 범위: AWS 콘텐츠 유형: 중요 (주의 필요) 발행일: 2026년 6월 8일 오전 11:45 PDT 설명: AWS AgentCore CLI(@aws/agentcore)는 Amazon Bedrock AgentCore에서 에이전트 인프라 수명주기를 관리하기 위한 개발자 도구입니다. 우리는 CVE-2026-11393을 확인했는데, 이 법안에서 파이썬 코드 생성 중 삼중 따옴표 문자의 부적절한 중립화가 같은 AWS 계정 내 인증된 사용자가 "agentcore add agent ‐‐type import" 명령어로 생성된 소스 파일에 임의의 Python 코드를 주입할 수 있습니다. 구체적으로, Bedrock Agent 협력자 협회의 collaborationInstruction 필드가 삼중 따옴표 이스케이핑 대신 단일 인용 이스케이핑을 사용하여 삼중 인용 Python 문서끈으로 보간되었습니다. bedrock:AssociateAgentCollaborator IAM 권한을 가진 사용자는 """가 포함된 collaborationInstruction 값을 만들어 가져오기 에이전트의 생성 main.py 에서 docstring 경계를 벗어날 수 있습니다. 생성된 파일이 이후 실행되면, 개발자의 로컬 머신에서 agentcore dev를 통해, 또는 AgentCore 런타임 환경에서 agentcore 배포 후 agentcore 인보크를 통해 실행되면, 주입된 파이썬은 해당 맥락에서 이용 가능한 자격 증명으로 실행됩니다. 영향을 받는 버전: - @aws/agentcore >= 0.4.0 AND <= 0.14.1 - preview versions >= 0.3.0-preview.7.0 및 <= 1.0.0-preview.8 이 AWS 보안 게시판과 관련된 가장 최시이자 완전한 정보는 아래 기사를 참고해 주시기 바랍니다.