AWS CDK CLI 和自定义凭证插件存在问题（CVE-2025-2598）

范围：AWS
内容类型：重要提示（需要注意）
发布日期：太平洋夏令时间 2025/03/21 上午 07:00

说明

AWS 发现了 CVE-2025-2598，这是 AWS 云开发套件 (AWS CDK) 命令行接口 (AWS CDK CLI) 版本 2.172.0 至 2.178.1 中的一个问题。AWS CDK CLI 是一种命令行工具，用于将 AWS CDK 应用程序部署到 AWS 账户上。

当客户使用凭证插件运行 AWS CDK CLI 命令，并将这些插件配置为通过包含过期属性返回临时凭证时，此问题可能会导致插件获取的 AWS 凭证打印到控制台输出中。任何有权访问 CDK CLI 运行位置的用户都可以访问此输出。我们已经发布了针对此问题的修复程序，建议客户升级到 2.178.2 或更高版本以解决此问题。不包含过期属性的插件不受此影响。

要验证凭证是否已打印到控制台输出中，客户可以执行以下操作：

1. 找出 2024 年 12 月 6 日之后启动的运行 CDK CLI 的执行。
2. 扫描这些执行的所有日志，找到与以下内容类似的语句：
   {
   accessKeyId: '<secret>',
   secretAccessKey: '<secret>',
   sessionToken: '<secret>',
   expiration: <date>,
   '$source': <对象。>
   }
   
3. 如果您找到这些凭证，则任何有权访问运行 CDK CLI 的控制台的用户都可以查看它们。因此，我们建议您采取适当的措施，包括但不限于：
    -撤消从插件使用的 AWS IAM 角色获得的所有临时证书。
    -限制有权访问控制台输出的用户。
    -轮换插件使用的 AWS IAM 用户的长期有效证书（如果有）。

有关自定义凭证插件的更多信息，请参阅我们的 “AWS CDK CLI 库”。

受影响的版本：2.172.0 到 2.178.1

解决方法：

该问题已在 2.178.2 版本中得到解决。建议您升级到最新版本，并确保所有分叉代码或派生代码都已打补丁以包含新的修复程序。

参考：

• GHSA-v63m-x9r9-8gqp
• CVE-2025-2598

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。