CVE-2025-4318: problema de validación de entradas en las propiedades de los componentes de la interfaz de usuario de AWS Amplify Studio
Alcance: AWS
Tipo de contenido: importante (requiere atención)
Fecha de publicación: 05/05/2020 11:00 a.m. PDT
Descripción
El paquete amplify-codegen-ui de AWS Amplify Studio es un paquete de AWS que genera código de interfaz de usuario a partir de entidades de UI Builder (componentes, formularios, vistas y temas), que se utiliza principalmente en Amplify Studio para obtener vistas previas de componentes y en la interfaz de línea de comandos de AWS (AWS CLI) para generar archivos de componentes en las aplicaciones locales de los clientes
Identificamos el CVE-2025-4318, un problema de validación de entradas en las propiedades de los componentes de la interfaz de usuario de Amplify Studio. Al importar un esquema de componentes mediante el comando create-component, Amplify Studio importará y generará el componente en nombre de los usuarios. La función de enlace de expresiones no valida las propiedades del esquema del componente antes de convertirlas en expresiones. Por lo tanto, un usuario autenticado que pueda crear o modificar componentes podría ejecutar código JavaScript arbitrario durante el proceso de renderizado y compilación del componente.
Publicamos una solución en la versión 2.20.3 y recomendamos a los usuarios que actualicen para solucionar este problema. Además, asegúrese de que cualquier código bifurcado o derivado esté revisado de manera que incluya las nuevas correcciones.
Versión afectada: <=2.20.2
Resolución:
Los parches se incluyen en la versión 2.20.3 de Amplify Studio aws-amplify/amplify-codegen-ui. Recomendamos actualizar a la versión más reciente y verificar que el código derivado o bifurcado incorpore las nuevas revisiones.
Referencias:
Envíe un correo electrónico a aws-security@amazon.com si tiene alguna pregunta o inquietud sobre seguridad.