CVE-2025-4318 – AWS Amplify Studio UI コンポーネントプロパティでの入力検証の問題
スコープ:AWS
コンテンツタイプ: 重要 (要注意)
公開日:2005年5月2025日午前11時 (太平洋夏時間)
説明
AWS Amplify Studio amplify-codegen-ui は、UI Builder エンティティ (コンポーネント、フォーム、ビュー、テーマ) からフロントエンドコードを生成する AWS パッケージで、主に Amplify Studio でコンポーネントのプレビューに使用され、AWS コマンドラインインターフェイス (AWS CLI) でお客様のローカルアプリケーションでコンポーネントファイルを生成するために主に使用されます
Amplify Studio UI コンポーネントのプロパティにおける入力検証の問題である CVE-2025-4318 を特定しました。create-component コマンドを使用してコンポーネントスキーマをインポートすると、Amplify Studio はユーザーに代わってコンポーネントをインポートして生成します。expression-binding 関数は、コンポーネントスキーマのプロパティを式に変換する前に、その検証はしません。その結果、コンポーネントを作成または変更できる認証されたユーザーが、コンポーネントのレンダリング中およびビルドプロセス中に、任意の JavaScript コードを実行する可能性があります。
2.20.3で修正をリリースしました。この問題に対処するには、アップグレードすることをお勧めします。また、フォークしたコードや派生コードには、必ずパッチを適用して新しい修正を反映させてください。
影響を受けるバージョン:<=2.20.2
解像度:
パッチは Amplify Studio aws-amplify/amplify-codegen-ui バージョン 2.20.3 に含まれています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。
参考情報:
セキュリティに関する質問や懸念がある場合は、 aws-security@amazon.com までメールでお問い合わせください。