SECURITY·중요도 8·2026. 06. 26.·The Hacker News

Amazon Q Developer Flaw Could Let Malicious Repos Run Code via MCP Configs

── KO ──────────────────

아마존 Q 개발자에 심각한 취약점이 발견되어 악성 저장소가 코드 실행을 가능하게 했다.

아마존 Q 개발자에서 발견된 높은 심각도의 취약점으로 인해 악성 저장소가 명령을 실행하고 개발자의 클라우드 자격 증명을 도용할 수 있는 가능성이 있었다. 개발자가 저장소를 열고 작업 공간을 신뢰함으로써 이 취약점이 발생할 수 있으며, 아마존은 이를 해결하기 위한 패치를 배포했다. 이 버그는 모델 컨텍스트 프로토콜(MCP) 서버의 처리 방식에 기인하며 CVE-2026-12957로 추적된다.


── EN ──────────────────

A critical flaw in Amazon Q Developer allowed malicious repos to run code and steal cloud credentials.

A high-severity vulnerability in Amazon Q Developer enabled malicious repositories to execute commands and potentially steal developers' cloud credentials. This issue arose when developers opened the repository and trusted the workspace, after which Amazon Q would execute commands automatically. Amazon has since released a patch to fix the vulnerability, which is tracked as CVE-2026-12957 and relates to the handling of Model Context Protocol (MCP) servers.

원문 보기 →목록으로