https://brdefense.center/tags/cve-2026-12957/Recent content in Cve-2026-12957 on BR Defense CenterHugopt-brFri, 26 Jun 2026 14:26:35 -0300https://brdefense.center/news/falha-critica-no-amazon-q-permite-roubo-de-credenc/Fri, 26 Jun 2026 14:26:35 -0300https://brdefense.center/news/falha-critica-no-amazon-q-permite-roubo-de-credenc/<p>Uma falha de alta gravidade no Amazon Q Developer permitiu que repositórios maliciosos executassem comandos e roubassem credenciais de desenvolvedores na nuvem. A vulnerabilidade, identificada como CVE-2026-12957, foi descoberta pela Wiz Research e se relaciona à forma como o assistente de codificação da Amazon gerenciava servidores do Model Context Protocol (MCP). O ataque ocorre quando um desenvolvedor abre um repositório, confia no espaço de trabalho e o Amazon Q executa automaticamente os comandos definidos em um arquivo de configuração MCP. Isso resulta na execução de código arbitrário com a sessão ativa do desenvolvedor, sem necessidade de senha ou autenticação adicional. A Wiz demonstrou a exploração da falha ao executar um comando que capturava a identidade do chamador AWS e enviava os dados para um servidor do atacante. A Amazon lançou um patch para corrigir a vulnerabilidade, que agora exige que os desenvolvedores rejeitem comandos de servidores MCP não confiáveis antes de sua execução. A falha afeta os Language Servers para AWS, utilizados em várias IDEs populares, e a atualização é recomendada para evitar riscos adicionais.</p>