Veröffentlichung: 05.05.2025, 11:00 Uhr PDT
Beschreibung
Die amplify-codegen-ui von AWS Amplify Studio ist ein AWS-Paket, das Frontend-Code aus UI-Builder-Entitäten (Komponenten, Formulare, Ansichten und Themen) generiert und hauptsächlich in Amplify Studio für Komponentenvorschauen und im AWS Command Line Interface (AWS CLI) zum Generieren von Komponentendateien in den lokalen Anwendungen der Kunden verwendet wird
Wir haben CVE-2025-4318 identifiziert, ein Problem mit der Eingabevalidierung in den Eigenschaften der Amplify-Studio-UI-Komponenten. Wenn Sie ein Komponentenschema mit dem Befehl „create-component“ importieren, importiert und generiert Amplify Studio die Komponente im Namen der Benutzer. Die Ausdrucksbindungsfunktion überprüft die Eigenschaften des Komponentenschemas nicht, bevor sie sie in Ausdrücke konvertiert. Daher kann ein authentifizierter Benutzer, der Komponenten erstellen oder ändern kann, während des Renderings und Erstellungsprozesses von Komponenten beliebigen JavaScript-Code ausführen.
Wir haben eine Fehlerbehebung in 2.20.3 veröffentlicht und empfehlen Benutzern ein Upgrade, um dieses Problem zu beheben. Stellen Sie zudem sicher, dass bei jedem abgezweigten oder abgeleiteten Code entsprechende Patches vorgenommen werden, sodass die neuen Fehlerbehebungen integriert werden.
Betroffene Version: <=2.20.2
Lösung:
Die Patches sind in Amplify Studio aws-amplify/amplify-codegen-ui Version 2.20.3 enthalten. Wir empfehlen, auf die neueste Version zu aktualisieren und sicherzustellen, dass jeder geforkte oder abgeleitete Code gepatcht wird, um die neuen Fehlerbehebungen zu integrieren.
Referenzen:
Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.