CVE-2025-4318 – Problem mit der Eingabevalidierung in den Eigenschaften der Komponenten der Benutzeroberfläche von AWS Amplify Studio
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Veröffentlichungsdatum: 05.05.2020, 11:00 Uhr PDT
Beschreibung
Das AWS Amplify Studio amplify-codegen-ui ist ein AWS-Paket, das Frontend-Code aus UI Builder-Entitäten (Komponenten, Formulare, Ansichten und Themen) generiert und hauptsächlich in Amplify Studio für Komponentenvorschauen und im AWS Command Line Interface (AWS CLI) zum Generieren von Komponentendateien in den lokalen Anwendungen der Kunden verwendet wird
Wir haben CVE-2025-4318 identifiziert, ein Problem mit der Eingabevalidierung in den Eigenschaften der Amplify Studio-UI-Komponenten. Wenn Sie ein Komponentenschema mit dem Befehl create-component importieren, importiert und generiert Amplify Studio die Komponente im Namen der Benutzer. Die Ausdrucksbindungsfunktion überprüft die Eigenschaften des Komponentenschemas nicht, bevor sie sie in Ausdrücke konvertiert. Daher kann ein authentifizierter Benutzer, der Komponenten erstellen oder ändern kann, während des Renderings und Erstellungsprozesses von Komponenten beliebigen JavaScript-Code ausführen.
Wir haben einen Fix in 2.20.3 veröffentlicht und empfehlen Benutzern ein Upgrade, um dieses Problem zu beheben. Stellen Sie zudem sicher, dass bei jedem abgezweigten oder abgeleiteten Code entsprechende Patches vorgenommen werden, sodass die neuen Fehlerbehebungen integriert werden.
Betroffene Version: <=2.20.2
Auflösung:
Die Patches sind in Amplify Studio aws-amplify/amplify-codegen-ui Version 2.20.3 enthalten. Wir empfehlen, auf die neueste Version zu aktualisieren und sicherzustellen, dass jeder geforkte oder abgeleitete Code gepatcht wird, um die neuen Fehlerbehebungen zu integrieren.
Referenzen:
Bitte senden Sie bei Sicherheitsfragen oder Bedenken eine E-Mail an aws-security@amazon.com.