Fecha de publicación: 05/05/2025 11:00 h PDT
Descripción
El paquete de AWS denominado amplify-codegen-ui de AWS Amplify Studio es una herramienta que genera código frontend a partir de entidades del Creador de UI (componentes, formularios, vistas y temas). Se utiliza principalmente en Amplify Studio para la vista previa de componentes y en la Interfaz de la línea de comandos de AWS (AWS CLI) para generar archivos de componentes en las aplicaciones locales de los clientes.
Identificamos la CVE-2025-4318, un problema de validación de entradas en las propiedades de los componentes de la interfaz de usuario de Amplify Studio. Al importar un esquema de componente mediante el comando create-component, Amplify Studio importará y generará el componente en nombre de los usuarios. La función de enlace de expresiones no valida las propiedades del esquema del componente antes de convertirlas en expresiones. Por lo tanto, un usuario autenticado que pueda crear o modificar componentes podría ejecutar código JavaScript arbitrario durante el proceso de renderizado y compilación del componente.
Publicamos una corrección en la versión 2.20.3 y recomendamos a los usuarios realizar la actualización para solucionar este problema. Además, asegúrese de que cualquier código bifurcado o derivado esté revisado de manera que incluya las nuevas correcciones.
Versiones afectadas: <=2.20.2
Resolución:
Las revisiones se incluyen en la versión 2.20.3 de aws-amplify/amplify-codegen-ui de Amplify Studio. Recomendamos actualizar a la versión más reciente y verificar que el código derivado o bifurcado incorpore las nuevas correcciones.
Referencias:
Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.