Una falla de alta gravedad en Amazon Q Developer permitió que un repositorio malicioso ejecutara comandos y robara las credenciales de la nube de un desarrollador. El camino fue corto: un desarrollador abre el repositorio, confía en el espacio de trabajo y Amazon Q hace el resto. Amazon lo ha parcheado.
Registrado como CVE-2026-12957 (CVSS 8.5), el error se encontraba en la forma en que el asistente de codificación de inteligencia artificial de Amazon manejaba los servidores del Protocolo de contexto modelo (MCP).
Wiz Research, que lo encontró e informó, demostró que un solo archivo de configuración colocado en un repositorio era suficiente para pasar del clon de git al compromiso de la nube.
Cómo funcionó el ataque
Amazon Q leyó un archivo de configuración de MCP, .amazonq/mcp.json, desde el espacio de trabajo abierto e inició los servidores que definió. Los servidores MCP son procesos locales que un asistente de IA puede generar para acceder a bases de datos, API o herramientas de creación, por lo que iniciar uno significa ejecutar comandos en la máquina.
Esos procesos heredaron el entorno completo del desarrollador. Por lo general, eso significa claves de AWS, tokens CLI de la nube, secretos de API y sockets de agente SSH.
Junte los dos y un archivo ubicado en un repositorio clonado podría ejecutar código arbitrario con la sesión en vivo en la nube del desarrollador adjunta. Sin contraseña, sin segundo inicio de sesión.
En su prueba de concepto, Wiz hizo que el archivo ejecutara aws sts get-caller-identity y enviara el resultado a un servidor atacante, capturando la sesión activa de AWS. Lo que viene a continuación depende de los permisos en la nube de ese desarrollador: hacer una puerta trasera a un usuario de IAM para lograr persistencia, acceder a servicios internos o girar hacia la producción.
AWS y Wiz enmarcan el paso de consentimiento de manera diferente. El aviso de Amazon dice que el usuario debe confiar en el espacio de trabajo cuando se le solicite, y CVSS califica la interacción del usuario como pasiva.
Wiz informó que no había ningún paso de consentimiento por separado para los servidores MCP antes de la solución. El parche cierra esa brecha: Amazon Q ahora marca un servidor MCP que no es de confianza y permite al desarrollador rechazar el comando antes de que se ejecute.
La falla reside en Language Servers para AWS, el tiempo de ejecución que impulsa Amazon Q en VS Code, JetBrains, Eclipse y Visual Studio. Los cuatro complementos lo incluyen, por lo que los cuatro quedaron expuestos en versiones que incluían una copia anterior.
que hacer
Actualizar. CVE-2026-12957 está corregido en los servidores de idiomas para AWS 1.65.0, pero el boletín de AWS indica a los clientes que migren a 1.69.0.
Esa compilación también cierra un segundo problema, CVE-2026-12958, una verificación de enlace simbólico faltante que podría permitir escrituras arbitrarias de archivos fuera del límite de confianza del espacio de trabajo.
Los mínimos del complemento parcheado:
- Código VS: 2.20 o posterior
- JetBrains: 4.3 o posterior
- Eclipse: 2.7.4 o posterior
- Kit de herramientas de Visual Studio: 1.94.0.0 o posterior
El servidor de idiomas se actualiza automáticamente a menos que la red lo bloquee y al recargar el IDE se obtiene la última versión.
No se conoce ninguna explotación pública; La entrada ADP de CISA para CVE-2026-12957 lo enumera como ninguno. Wiz encontró la falla a través de una investigación y la reveló en coordinación con Amazon, informándola el 20 de abril y viendo una solución el 12 de mayo, antes del informe público del 26 de junio.
Un patrón, no algo único
Amazon Q no es el primer asistente de codificación que tropieza con la confianza de MCP. Los errores no son idénticos, pero riman: la configuración del proyecto se convierte en un comportamiento ejecutable y las comprobaciones de confianza en torno a esa transferencia siguen fallando.
Claude Code (CVE-2025-59536) y Cursor (CVE-2025-54136) tenían una configuración MCP a nivel de proyecto que conducía a la ejecución del comando. Windsurf (CVE-2026-30615) llegó al mismo final por un camino diferente, con contenido controlado por atacantes reescribiendo la configuración MCP local para registrar un servidor malicioso.
La conveniencia de permitir que una carpeta de proyecto configure un agente de IA también es la superficie de ataque. La configuración transportada por el repositorio es una entrada que no es de confianza. Convertirlo en un proceso en ejecución debería requerir un sí explícito.
