Date de publication : 05/05/2025, 11 h (heure du Pacifique)
Description
AWS Amplify Studio amplify-codegen-ui est un package AWS qui génère du code front-end à partir d’entités UI Builder (composants, formulaires, vues et thèmes). Il est principalement utilisé dans Amplify Studio pour les aperçus des composants et dans l’interface de la ligne de commande AWS (AWS CLI) pour générer des fichiers de composant dans les applications locales des clients
Nous avons identifié le problème CVE-2025-4318 de validation des entrées dans les propriétés des composants de l’interface utilisateur d’Amplify Studio. Lors de l’importation d’un schéma de composant à l’aide de la commande create-component, Amplify Studio importe et génère le composant pour le compte des utilisateurs. La fonction de liaison d’expression ne valide pas les propriétés du schéma du composant avant de les convertir en expressions. Par conséquent, un utilisateur authentifié capable de créer ou de modifier des composants pourrait exécuter du code JavaScript arbitraire pendant le processus de rendu et de génération des composants.
Nous avons publié un correctif dans la version 2.20.3 et recommandons aux utilisateurs de procéder à une mise à niveau pour résoudre ce problème. En outre, veillez à ce que tout code bifurqué ou dérivé soit corrigé pour intégrer les nouveaux correctifs.
Versions concernées : version 2.20.2 et versions antérieures
Résolution :
Les correctifs sont inclus dans Amplify Studio aws-amplify/amplify-codegen-ui version 2.20.3. Nous recommandons de mettre à jour vers la dernière version et de veiller à ce que tout code bifurqué ou dérivé soit corrigé pour intégrer les nouveaux correctifs.
Références :
Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.