Amazon Kiro IDE < 0.11.133 不正確的預設權限

medium Nessus Plugin ID 323896

概要

遠端主機上安裝的 IDE 受到資訊洩漏弱點的影響。

說明

遠端主機上安裝的 Amazon Kiro IDE 版本早於 0.11.133。因此受到資訊洩漏弱點的影響。

- 在 macOS 和 Linux 0.11.133 上的 Kiro IDE 中,版本中的錯誤預設權限可能會透過全球可讀權限 (0644) 而不是所有者限制權限 (0600) 將身份驗證權杖快取檔案洩露給其他本機使用者或處理程序。(CVE-2026-11931)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Amazon Kiro IDE 版本 0.11.133 或更新版本。

另請參閱

https://aws.amazon.com/security/security-bulletins/2026-045-aws/

https://kiro.dev/changelog/ide/0-11/#patch-0-11-133

Plugin 詳細資訊

嚴重性: Medium

ID: 323896

檔案名稱: amazon_kiro_0_11_133.nasl

版本: 1.1

類型: Local

代理程式: unix

系列: Misc.

已發布: 2026/6/30

已更新: 2026/6/30

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3

百分位: 23.73

CVSS v2

風險因素: Medium

基本分數: 4.6

媒介: CVSS2#AV:L/AC:L/Au:S/C:C/I:N/A:N

CVSS 評分資料來源: CVE-2026-11931

CVSS v3

風險因素: Medium

基本分數: 5.5

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

CVSS v4

風險因素: Medium

Base Score: 6.8

Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

弱點資訊

CPE: cpe:/a:amazon:kiro

必要的 KB 項目: installed_sw/Amazon Kiro

修補程式發佈日期: 2026/6/23

弱點發布日期: 2026/6/23

參考資訊

CVE: CVE-2026-11931

IAVB: 2026-B-0174