RSS AWS 最新公告 关注 CVE-2026-12530 - AWS Bedrock AgentCore Python SDK 的 install_packages() 函数中参数分隔符未正确中和 AWS 发布了一份关于 Bedrock AgentCore Python SDK 的安全公告。在 Code Interpreter 客户端的 install_packages() 方法中发现了一个漏洞,编号为 CVE-2026-12530。该方法未能充分清理用于 shell 命令的包名参数。具体而言,一个不完整的黑名单允许精心构造的输入绕过验证。此绕过可利用 pip 的 --index-url 标志将包安装重定向到恶意的第三方服务器。此外,-r 标志可用于读取并暴露 Code Interpreter 沙箱中的任意文件。受影响的 SDK 版本范围为 1.1.3 至(不含)1.6.1。强烈建议使用该版本范围的开发者立即采取行动。更多详细信息和最新内容可在提供的文章中查阅。 CVE-2026-12530 - Improper neutralization of argument delimiters in AWS Bedrock AgentCore Python SDK install_packages() aws.amazon.com
install_packages()方法中发现了一个漏洞,编号为 CVE-2026-12530。该方法未能充分清理用于 shell 命令的包名参数。具体而言,一个不完整的黑名单允许精心构造的输入绕过验证。此绕过可利用 pip 的--index-url标志将包安装重定向到恶意的第三方服务器。此外,-r标志可用于读取并暴露 Code Interpreter 沙箱中的任意文件。受影响的 SDK 版本范围为 1.1.3 至(不含)1.6.1。强烈建议使用该版本范围的开发者立即采取行动。更多详细信息和最新内容可在提供的文章中查阅。