AWS 发布了一份关于 AWS 语言服务器及 Amazon Q Developer IDE 插件的重要安全公告，已发现两个漏洞，需立即关注。第一个漏洞 CVE-2026-12957 是版本 1.65.0 之前存在的信任边界执行不当问题，若本地用户打开经过构造的工作区并予以信任，可能导致命令自动执行。第二个漏洞 CVE-2026-12958 涉及缺少符号链接验证，影响 1.69.0 之前的版本，可通过指向工作区外部的恶意构造符号链接进行利用。这两个漏洞均存在于使用这些语言服务器的 Amazon Q Developer IDE 插件中。这些关键问题已在 AWS 语言服务器版本 1.69.0 中修复。受影响的产品包括适用于 VS Code、JetBrains、Eclipse 和 Visual Studio 的多个版本的 Amazon Q Developer IDE 插件。强烈建议用户更新至最新版本以缓解这些风险。更多详细信息及最新内容请参阅链接的 AWS 安全公告。