Amazon Q Developer corrige une faille MCP exposant les clés AWS
TL;DR
- CVE-2026-12957 (CVSS 8,5) permettait à un dépôt malveillant de voler les clés AWS d'un développeur via un seul fichier .amazonq/mcp.json.
- Wiz Research a signalé la faille le 20 avril 2026 ; Amazon a publié le correctif en moins de quatre semaines, le 12 mai.
- Le patch dans Language Servers for AWS 1.69.0 exige désormais une approbation explicite avant le lancement de tout serveur MCP non reconnu.
Un fichier de configuration dans un dépôt Git peut suffire à exfiltrer les identifiants cloud d'un développeur. C'est le scénario que Wiz Research a démontré dans Amazon Q Developer, l'assistant de codage IA d'Amazon, avant qu'un correctif ne soit déployé le 12 mai 2026.
La faille, référencée CVE-2026-12957 et notée 8,5 sur l'échelle CVSS, réside dans la façon dont Amazon Q traitait les fichiers de configuration MCP (Model Context Protocol). Lorsqu'un développeur ouvrait un dépôt et acceptait de lui faire confiance, l'outil lançait automatiquement les serveurs MCP définis dans le fichier `.amazonq/mcp.json` présent dans le projet. Ces processus héritaient de l'intégralité de l'environnement du développeur, y compris les clés AWS, les tokens d'accès cloud et les clés SSH. Wiz Research a illustré l'attaque en faisant exécuter la commande `aws sts get-caller-identity` via un fichier de configuration malveillant, récupérant ainsi les identifiants de session AWS actifs et les transmettant à un serveur contrôlé par les chercheurs. Selon The Hacker News, une seule ligne de configuration suffisait pour passer de la simple consultation d'un dépôt à la compromission complète d'un compte cloud.
Le correctif publié dans Language Servers for AWS 1.69.0 introduit une étape de consentement explicite : Amazon Q signale désormais tout serveur MCP non reconnu et laisse au développeur la possibilité de refuser son exécution avant qu'il ne démarre. Amazon avait été informé de la vulnérabilité le 20 avril et le patch était disponible le 12 mai, soit moins de quatre semaines entre le signalement et la correction. Les versions minimales requises sont VS Code 2.20+, JetBrains 4.3+, Eclipse 2.7.4+ et Visual Studio toolkit 1.94.0.0+. Une seconde vulnérabilité, CVE-2026-12958, corrigée dans le même périmètre, adressait un contrôle manquant sur les liens symboliques permettant des écritures arbitraires de fichiers en dehors du répertoire de travail.
La base CISA ne recense aucune exploitation publique connue de CVE-2026-12957 à ce stade, ce qui nuance l'urgence immédiate. Mais le problème structurel que ce cas met en lumière dépasse Amazon : avant le correctif, il n'existait aucune étape de consentement distincte pour les serveurs MCP eux-mêmes, indépendamment de la confiance accordée au workspace. Ce que le reportage ne précise pas, c'est si d'autres assistants de codage IA traitant des fichiers de configuration MCP présentent le même défaut de conception.
La vraie question à surveiller n'est pas la vitesse du correctif chez Amazon, qui est ici bonne, mais la robustesse de ce point de consentement dans l'ensemble des outils qui adoptent MCP à mesure que le protocole se généralise.
Article original publié par thehackernews.com
Lire l'article original →Titre original : Amazon Q Developer : une faille MCP (CVE-2026-12957, CVSS 8,5) permettait d'exécuter du code arbitraire avec les identifiants AWS du développeur via un simple fichier de configuration de dépôt