CVE-2026-15737 in bedrock-agentcoreinformación

Resumen

por VulDB • 2026-07-17

El SDK de Python para AWS Bedrock AgentCore es una biblioteca de código abierto que proporciona herramientas cliente para la creación de agentes de IA en la plataforma Amazon Bedrock AgentCore.

La generación no intencionada de registros (logging) del contenido sensible del usuario en la instrumentación OpenTelemetry incluida en las versiones 1.4.8 y 1.5.0 del SDK de Python para AWS Bedrock AgentCore podría permitir que un usuario local autenticado con acceso a CloudWatch Logs recupere los prompts originales de los usuarios y las respuestas completas de los agentes, que contienen datos sensibles, mediante los atributos de span (span attributes). El SDK escribía los prompts crudos del usuario y las respuestas integrales del agente en los atributos de OpenTelemetry span en cada invocación, sin aplicar ningún tipo de filtrado ni ofuscamiento. Estos spans se transmiten al grupo de registros CloudWatch aws/spans del cliente, exponiendo el contenido sensible a cualquier principal con permisos de lectura sobre dichos logs.

Se recomienda actualizar a la versión 1.5.1 o posterior. Los usuarios que hayan ejecutado las versiones afectadas también deben revisar y eliminar (purge) los contenidos sensibles almacenados en sus grupos de registros CloudWatch aws/spans.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

AMZN

Reservar

2026-07-14

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379590

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!