Fecha de publicación: 21/03/2025 07:00 h PDT
Descripción
AWS identificó CVE-2025-2598, un problema en la interfaz de línea de comandos de AWS Cloud Development Kit (AWS CDK) (AWS CDK CLI), versiones 2.172.0 a 2.178.1. AWS CDK CLI es una herramienta de línea de comandos que implementa aplicaciones AWS CDK en cuentas de AWS.
Cuando los clientes ejecutan comandos de AWS CDK CLI con complementos de credenciales y configuran dichos complementos de modo que devuelvan credenciales temporales mediante la inclusión de una propiedad de caducidad, este problema puede provocar que las credenciales de AWS recuperadas por el complemento se impriman en la salida de la consola. Cualquier usuario con acceso a donde se ejecutó la CLI del CDK tendría acceso a esta salida. Hemos publicado una corrección para este problema y recomendamos a los clientes que actualicen a la versión 2.178.2 o posterior para solucionarlo. Los complementos que omiten la propiedad de caducidad no se ven afectados.
Para validar si las credenciales se han impreso en la salida de la consola, los clientes pueden hacer lo siguiente:
- Identificar las ejecuciones que ejecutan la CLI del CDK que se han iniciado después del 6 de diciembre de 2024.
- Analice cualquier registro de esas ejecuciones para encontrar instrucciones similares a las siguientes:
{
accessKeyId: '<secret>',
secretAccessKey: '<secret>',
sessionToken: '<secret>',
expiration: <date>,
'$source': <object>
} - Si identifica las credenciales, también podrán verlas los usuarios que tengan acceso a la consola en la que se ejecutó la CLI del CDK. Por ello, recomendamos que tome las medidas oportunas, que pueden incluir (entre otras):
- Revocar todas las credenciales temporales obtenidas del rol de AWS IAM utilizado por el complemento.
- Limitar los usuarios que tienen acceso a la salida de la consola.
- Rotar credenciales de larga duración del usuario de AWS IAM utilizado por el complemento (si corresponde).
Consulte nuestra “Biblioteca de AWS CDK CLI” para obtener más información sobre los complementos de credenciales personalizados.
Versiones afectadas: 2.172.0 a 2.178.1
Resolución:
El problema se solucionó en la versión 2.178.2. Recomendamos actualizar a la versión más reciente y asegurarse de que se aplique la revisión a cualquier código derivado o bifurcado de modo que se incorporen las nuevas correcciones.
Referencias:
Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.