Fecha de publicación: 31/03/2025 08:10 h PDT
Descripción
La interfaz de línea de comandos del modelo de aplicaciones sin servidor de AWS (CLI de AWS SAM) es una herramienta de CLI de código abierto que ayuda a los desarrolladores de Lambda a crear y desarrollar aplicaciones de Lambda localmente en sus equipos mediante Docker.
Hemos identificado los siguientes problemas en la CLI de AWS SAM. Se ha publicado una corrección y recomendamos a los usuarios que actualicen a la versión más reciente para solucionar estos problemas. Además, los usuarios se deben asegurar de que se aplique la revisión a cualquier código bifurcado o derivado de modo que incorpore las nuevas correcciones.
- CVE-2025-3047: cuando se ejecuta el proceso de compilación de la CLI de AWS SAM con Docker y se incluyen enlaces simbólicos en los archivos de compilación, el entorno del contenedor permite a un usuario acceder a archivos privilegiados en el host a través de los permisos elevados concedidos a la herramienta. Un usuario podría aprovechar los permisos elevados para acceder a archivos restringidos a través de enlaces simbólicos y copiarlos en una ubicación más permisiva del contenedor. Este problema afecta a la CLI de AWS SAM <= v1.132.0 y se ha resuelto en la v1.133.0. Para mantener el comportamiento anterior tras la actualización y permitir que los enlaces simbólicos se resuelvan en el equipo host, utilice el parámetro explícito “--mount-symlinks”.
- CVE-2025-3048: después de completar una compilación con la CLI de AWS SAM que incluye enlaces simbólicos, el contenido de dichos enlaces simbólicos se copia en la caché del espacio de trabajo local como archivos o directorios normales. Por consiguiente, un usuario que no tenga acceso a esos enlaces simbólicos fuera del contenedor de Docker tendría ahora acceso a través del espacio de trabajo local. Este problema afecta a la CLI de AWS SAM <= v1.133.0 y se ha resuelto en la v1.134.0. Después de realizar la actualización, los usuarios deberán volver a compilar las aplicaciones con sam build --use-container para actualizar los enlaces simbólicos.
Versión afectada: <= AWS SAM CLI v1.133.0
Resolución:
CVE-2025-3047 se ha solucionado en la versión 1.133.0 y CVE-2025-3048 se ha solucionado en la versión 1.134.0. Los usuarios deben actualizar a la versión más reciente y asegurarse de se aplique la revisión a cualquier código derivado o bifurcado de modo que incorpore las nuevas correcciones.
Referencias:
Reconocimiento:
Agradecemos al laboratorio de seguridad de GitHub por su colaboración en la resolución de este problema a través del proceso coordinado de divulgación de vulnerabilidades.
Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.