رفع دو آسیب‌پذیری مهم در Language Servers for AWS و افزونه‌های Amazon Q Developer

شرکت آمازون در تاریخ 23 ژوئن 2026، دو آسیب‌پذیری امنیتی مهم را در Language Servers for AWS و افزونه‌های Amazon Q Developer شناسایی و رفع کرد. این آسیب‌پذیری‌ها که با شناسه‌های CVE-2026-12957 و CVE-2026-12958 ثبت شده‌اند، می‌توانستند به کاربران محلی اجازه دهند با باز کردن یک workspace مخرب، کدهای ناخواسته را اجرا کنند یا از طریق لینک‌های سمبولیک مخرب به فایل‌هایی خارج از محدوده اعتماد دسترسی پیدا کنند.

Language Servers for AWS نقش مهمی در پشتیبانی از قابلیت‌های هوش مصنوعی کدنویسی در افزونه‌های IDE مختلف مانند Visual Studio Code، JetBrains، Eclipse و Visual Studio ایفا می‌کند. این سرویس‌ها به توسعه‌دهندگان کمک می‌کنند تا با بهره‌گیری از هوش مصنوعی، فرآیند کدنویسی را بهبود بخشند و خطاهای احتمالی را کاهش دهند.

آسیب‌پذیری اول (CVE-2026-12957) مربوط به عدم اجرای صحیح مرزهای اعتماد در Language Servers for AWS نسخه‌های پیش از 1.65.0 است. در این حالت، اگر کاربر محلی یک workspace با ساختار مخرب باز کند و به آن اعتماد کند، ممکن است دستورات موجود در فایل‌های پیکربندی پروژه به صورت خودکار اجرا شوند. این موضوع می‌تواند منجر به اجرای کدهای مخرب و به خطر افتادن امنیت سیستم شود.

آسیب‌پذیری دوم (CVE-2026-12958) مربوط به عدم اعتبارسنجی صحیح لینک‌های سمبولیک در نسخه‌های پیش از 1.69.0 است. در این حالت، باز کردن یک workspace حاوی لینک سمبولیک مخرب که به مسیرهای خارج از محدوده اعتماد اشاره دارد، می‌تواند منجر به دسترسی غیرمجاز به فایل‌ها شود. این نقص امنیتی نیز می‌تواند تهدیدی برای امنیت داده‌ها و سیستم‌های توسعه‌دهندگان باشد.

این آسیب‌پذیری‌ها افزونه‌های Amazon Q Developer را تحت تأثیر قرار داده‌اند که شامل نسخه‌های زیر می‌شوند:
– Amazon Q Developer برای Visual Studio Code نسخه‌های کمتر از 2.20
– Amazon Q Developer برای JetBrains نسخه‌های کمتر از 4.3
– Amazon Q Developer برای Eclipse نسخه‌های کمتر از 2.7.4
– AWS Toolkit با Amazon Q برای Visual Studio نسخه‌های کمتر از 1.94.0.0

آمازون با انتشار نسخه 1.69.0 از Language Servers for AWS، این مشکلات امنیتی را برطرف کرده است. به توسعه‌دهندگان توصیه می‌شود هر چه سریع‌تر نسخه‌های افزونه‌های خود را به نسخه‌های امن ارتقاء دهند تا از خطرات احتمالی جلوگیری شود.

این رخداد بار دیگر اهمیت به‌روزرسانی منظم نرم‌افزارها و افزونه‌های توسعه نرم‌افزاری را نشان می‌دهد، به ویژه در محیط‌هایی که از هوش مصنوعی برای تسهیل فرآیند کدنویسی استفاده می‌کنند. همچنین، این موضوع تأکید می‌کند که توسعه‌دهندگان باید در هنگام باز کردن workspaceهای جدید، به هشدارهای مربوط به اعتماد به محیط کاری توجه ویژه‌ای داشته باشند.

در نهایت، این اقدامات امنیتی بخشی از تلاش‌های مستمر آمازون برای حفظ امنیت و اطمینان از عملکرد صحیح ابزارهای توسعه نرم‌افزاری خود است. با توجه به گستردگی استفاده از این ابزارها در صنعت فناوری اطلاعات، رفع سریع آسیب‌پذیری‌ها و اطلاع‌رسانی به موقع به کاربران، نقش مهمی در حفظ امنیت اکوسیستم توسعه نرم‌افزار ایفا می‌کند.