Saltar al contenido principal

Problema con AWS CDK CLI y los complementos de credenciales personalizados (CVE-2025-2598)

Alcance: AWS
Tipo de contenido: importante (requiere atención)
Fecha de publicación: 21/03/2021 07:00 a.m. PDT

Descripción

AWS identificó el CVE-2025-2598, un problema en la interfaz de línea de comandos (CLI de AWS CDK) del AWS Cloud Development Kit (AWS CDK), versiones 2.172.0 a 2.178.1. La CLI de AWS CDK es una herramienta de línea de comandos que implementa aplicaciones de AWS CDK en cuentas de AWS.

Cuando los clientes ejecutan comandos de AWS CDK CLI con complementos de credenciales y configuran dichos complementos de modo que devuelvan credenciales temporales mediante la inclusión de una propiedad de caducidad, este problema puede provocar que las credenciales de AWS recuperadas por el complemento se impriman en la salida de la consola. Cualquier usuario con acceso a donde se ejecutó la CLI del CDK tendría acceso a esta salida. Hemos publicado una solución para este problema y recomendamos a los clientes que actualicen a la versión 2.178.2 o posterior para solucionar este problema. Los complementos que omiten la propiedad de caducidad no se ven afectados.

Para validar si las credenciales se han impreso en la salida de la consola, los clientes pueden hacer lo siguiente:

  1. Identificar las ejecuciones que ejecutan la CLI del CDK que se han iniciado después del 6 de diciembre de 2024.
  2. Analice cualquier registro de esas ejecuciones para encontrar instrucciones similares a las siguientes:
    {
    accessKeyId: '<secret>',
    secretAccessKey: '<secret>',
    sessionToken: '<secret>',
    expiration: <date>,
    '$source': <objeto. '$fuente':
    }
  3. Si identifica las credenciales, también podrán verlas los usuarios que tengan acceso a la consola en la que se ejecutó la CLI del CDK. Por ello, recomendamos que tome las medidas oportunas, que pueden incluir (entre otras):
     - Revocar todas las credenciales temporales obtenidas del rol de IAM de AWS que utiliza el complemento.
     - Limite el número de usuarios que tienen acceso a la salida de la consola.
     - Cambie las credenciales de larga duración del usuario de AWS IAM que utiliza el complemento (si las hay).

Consulte nuestra «Biblioteca de CLI de AWS CDK» para obtener más información sobre los complementos de credenciales personalizados.

Versiones afectadas: 2.172.0 a 2.178.1

Resolución:

El problema se solucionó en la versión 2.178.2. Recomendamos actualizar a la versión más reciente y asegurarse de que se aplique la revisión a cualquier código derivado o bifurcado de modo que se incorporen las nuevas correcciones.

Referencias:

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.