anonhaven

CVE-2026-5429

HIGH CVSS 4.0: 7,1 EPSS 0.03%
Обновлено 3 апреля 2026
Unsanitized
Параметр Значение
CVSS 7,1 (HIGH)
Уязвимые версии до 0.8.140
Устранено в версии 0.8.140
Тип уязвимости CWE-79 (Межсайтовый скриптинг (XSS))
Поставщик Unsanitized
Публичный эксплойт Нет

Несанкционированный ввод во время создания веб-страницы в веб-представлении агента Kiro в Kiro IDE до версии 0.8.140 позволяет удаленному неаутентифицированному злоумышленнику выполнять произвольный код с помощью потенциально опасного имени созданной цветовой темы, когда локальный пользователь открывает рабочую область. Эта проблема требует, чтобы пользователь доверял рабочей области при появлении соответствующего запроса. Чтобы устранить эту проблему, пользователям следует выполнить обновление до версии 0.8.140.

Показать оригинальное описание (EN)

Unsanitized input during web page generation in the Kiro Agent webview in Kiro IDE before version 0.8.140 allows a remote unauthenticated threat actor to execute arbitrary code via a potentially damaging crafted color theme name when a local user opens the workspace. This issue requires the user to trust the workspace when prompted. To remediate this issue, users should upgrade to version 0.8.140.

Характеристики атаки

Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Не требуются
Права не нужны
Участие пользователя
Активное
Нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-79 Cross-Site Scripting (XSS) (Межсайтовый скриптинг (XSS))

Ссылки 2

https://aws.amazon.com/security/security-bulletins/2026-012-aws/
ff89ba41-3aa1-4d27-914a-91399e9639e5
https://kiro.dev/changelog/ide/0-8/#patch-0-8-140
ff89ba41-3aa1-4d27-914a-91399e9639e5
Share Post Share Share Share