CVE-2025-4318 - Problema di convalida dell'input nelle proprietà dei componenti dell'interfaccia utente di Studio AWS Amplify
Ambito: AWS
Tipo di contenuto: Importante (richiede attenzione)
Data di pubblicazione: 2025/05/05 11:00 AM PDT
Descrizione
AWS Amplify Studio amplify-codegen-ui è un pacchetto AWS che genera codice front-end da entità UI Builder (componenti, moduli, viste e temi), utilizzato principalmente in Amplify Studio per le anteprime dei componenti e in AWS Command Line Interface (AWS CLI) per generare file di componenti nelle applicazioni locali dei clienti
Abbiamo identificato CVE-2025-4318, un problema di convalida dell'input nelle proprietà dei componenti dell'interfaccia utente di Amplify Studio. Quando si importa uno schema di componenti utilizzando il comando create-component, Amplify Studio importerà e genererà il componente per conto degli utenti. La funzione di associazione delle espressioni non convalida le proprietà dello schema dei componenti prima di convertirle in espressioni. Di conseguenza, un utente autenticato in grado di creare o modificare componenti potrebbe eseguire codice JavaScript arbitrario durante il processo di rendering e compilazione dei componenti.
Abbiamo rilasciato una correzione nella versione 2.20.3 e consigliamo agli utenti di eseguire l'aggiornamento per risolvere questo problema. Inoltre, per incorporare le nuove correzioni, è necessario assicurarsi che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.
Versione interessata: <=2.20.2
Risoluzione:
Le patch sono incluse nella versione 2.20.3 di Amplify Studio aws-amplify/amplify-codegen-ui. Per incorporare le nuove correzioni, ti consigliamo di eseguire l'aggiornamento alla versione più recente e di assicurarti che siano state applicate le patch a qualsiasi codice derivato o di cui è stato eseguito il fork.
Riferimenti:
Inviare un'e-mail a aws-security@amazon.com per eventuali domande o dubbi sulla sicurezza.