CVE-2026-12957: un workspace malicioso puede ejecutar código arbitrario en Language Servers for AWS

Amazon ha publicado un boletín de seguridad que detalla una vulnerabilidad de severidad alta (CVSS 7.8) en Language Servers for AWS, el componente que proporciona capacidades de asistencia de código —como autocompletado y análisis estático— en entornos de desarrollo integrados compatibles con Amazon Q Developer.

¿Qué ha fallado?

El problema se clasifica bajo CWE-732 (asignación incorrecta de permisos) y se manifiesta como una imposición deficiente de los límites de confianza en el procesamiento de archivos de configuración de proyecto. En la práctica, cuando un usuario abre un workspace que ha sido manipulado por un actor malicioso, los comandos embebidos en los archivos de configuración pueden ejecutarse de forma automática sin requerir ninguna interacción adicional más allá de aceptar la confianza del workspace cuando el IDE lo solicita.

El vector de ataque es local (AV:L), lo que significa que el atacante debe lograr que la víctima abra el proyecto manipulado —por ejemplo, clonando un repositorio comprometido o recibiendo un archivo de proyecto por cualquier canal—. La complejidad de ataque es baja (AC:L), no se requieren privilegios previos (PR:N) y la interacción del usuario se limita a ese único paso de apertura del workspace (UI:R). El impacto potencial abarca confidencialidad, integridad y disponibilidad, todos evaluados como altos.

Versiones afectadas y solución

Todas las versiones de Language Servers for AWS anteriores a la 1.65.0 en cualquier plataforma soportada son vulnerables. La medida de remediación es directa: actualizar a la versión 1.65.0 o superior. No se conocen mitigaciones alternativas documentadas por el fabricante.

Dado que los entornos de desarrollo suelen operar con permisos de usuario completos y con frecuente acceso a credenciales de nube almacenadas localmente, la explotación exitosa podría tener consecuencias que van más allá del propio equipo del desarrollador.

Contexto y recomendaciones

Los ataques que aprovechan proyectos de código manipulados son un vector recurrente contra equipos de ingeniería y cadenas de suministro de software. Se recomienda a los equipos de seguridad:

  • Verificar la versión instalada de Language Servers for AWS en todos los puestos de desarrollo y pipelines de CI/CD.
  • Aplicar la actualización a la versión 1.65.0 con carácter prioritario.
  • Concienciar a los desarrolladores sobre los riesgos de abrir workspaces o repositorios de fuentes no verificadas.
  • Auditar los archivos de configuración de proyecto (.aws, archivos de tarea, configuraciones de extensión) en los repositorios internos para descartar presencia de comandos no autorizados.

¿Estás cubierto en DefensOps?

DefensOps detecta actividad relacionada con esta vulnerabilidad a través de su motor de correlación genérico, disponible desde el plan Essential. Aunque CVE-2026-12957 no tiene técnicas MITRE ATT&CK asignadas de forma específica, el motor de correlación puede identificar patrones de comportamiento anómalos asociados a la ejecución de procesos inesperados desde entornos de desarrollo, alertando al equipo de seguridad antes de que el impacto se propague.

¿Quieres saber si tu organización estaría protegida frente a este tipo de amenaza?
Consulta los planes y solicita una demo en DefensOps →


Fuentes: The Hacker News · Boletín de seguridad AWS 2026-047 · GitHub Security Advisory GHSA-xhcr-j4j9-3gh7