CVE-2025-4318 – Problème de validation des entrées dans les propriétés des composants de l’interface utilisateur d’AWS Amplify Studio
Champ d'application : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 05/05/2025 à 11h00 PDT
Description
AWS Amplify Studio amplify-codegen-ui est un package AWS qui génère du code frontal à partir d'entités UI Builder (composants, formulaires, vues et thèmes), principalement utilisé dans Amplify Studio pour les aperçus des composants et dans l'interface de ligne de commande AWS (AWS CLI) pour générer des fichiers de composants dans les applications locales des clients
Nous avons identifié CVE-2025-4318, un problème de validation des entrées dans les propriétés des composants de l'interface utilisateur d'Amplify Studio. Lors de l'importation d'un schéma de composant à l'aide de la commande create-component, Amplify Studio importe et génère le composant pour le compte des utilisateurs. La fonction de liaison d’expression ne valide pas les propriétés du schéma du composant avant de les convertir en expressions. Par conséquent, un utilisateur authentifié capable de créer ou de modifier des composants pourrait exécuter du code JavaScript arbitraire pendant le processus de rendu et de génération des composants.
Nous avons publié un correctif dans la version 2.20.3 et recommandons aux utilisateurs de procéder à une mise à niveau pour résoudre ce problème. En outre, veillez à ce que tout code bifurqué ou dérivé soit corrigé pour intégrer les nouveaux correctifs.
Version affectée : <=2.20.2
Résolution :
Les correctifs sont inclus dans Amplify Studio aws-amplify/amplify-codegen-ui version 2.20.3. Nous recommandons de mettre à jour vers la dernière version et de veiller à ce que tout code bifurqué ou dérivé soit corrigé pour intégrer les nouveaux correctifs.
Références :
Veuillez envoyer un e-mail à aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.