发布日期:2025 年 5 月 5 日上午 11:00(太平洋夏令时)
说明
AWS Amplify Studio amplify-codegen-ui 是一个 AWS 软件包,从 UI Builder 实体(组件、表单、视图和主题)生成前端代码,主要用于 Amplify Studio 进行组件预览,在 AWS 命令行界面(AWS CLI)中用于在客户的本地应用程序中生成组件文件。
我们发现了 CVE-2025-4318,这是 Amplify Studio 用户界面组件属性中的一个输入验证问题。使用 create-component 命令导入组件架构时,Amplify Studio 将代表用户导入并生成组件。表达式绑定函数在将组件架构属性转换为表达式之前不会对其进行验证。因此,能够创建或修改组件的经过身份验证的用户,可以在组件渲染和构建过程中运行任意 JavaScript 代码。
我们在 2.20.3 中发布了修复程序,建议用户升级以解决此问题。此外,确保对任何分叉代码或派生代码进行修补,以纳入新的修复程序。
受影响的版本:<=2.20.2
解决方法:
这些补丁包含在 Amplify Studio aws-amplify/amplify-codegen-ui 版本 2.20.3 中。建议您升级到最新版本,并确保对任何分叉代码或派生代码进行修补,以纳入新的修复程序。
参考:
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。