発行日: 2025 年 5 月 5 日 午前 11 時 PDT
説明
AWS Amplify Studio amplify-codegen-ui は、UI Builder エンティティ (コンポーネント、フォーム、ビュー、テーマ) からフロントエンドコードを生成する AWS パッケージです。主に Amplify Studio でコンポーネントのプレビューに、および AWS コマンドラインインターフェイス (AWS CLI) でお客様のローカルアプリケーションにてコンポーネントファイルを生成するために使用されます
AWS は、Amplify Studio UI コンポーネントプロパティでの入力検証の問題 CVE-2025-4318 を特定しました。create-component コマンドを使用してコンポーネントスキーマをインポートすると、Amplify Studio はユーザーに代わってコンポーネントをインポートして生成します。expression-binding 関数は、コンポーネントスキーマのプロパティを式に変換する前に、その検証はしません。その結果、コンポーネントを作成または変更できる認証されたユーザーが、コンポーネントのレンダリング中およびビルドプロセス中に、任意の JavaScript コードを実行する可能性があります。
AWS は 2.20.3 で修正をリリースしました。この問題に対処するため、アップグレードすることをお勧めします。また、フォークしたコードや派生コードには、必ずパッチを適用して新しい修正を反映させてください。
影響を受けるバージョン: 2.20.2 以前
解決方法:
パッチは Amplify Studio aws-amplify/amplify-codegen-ui バージョン 2.20.3 に含まれています。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。
参考情報:
セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。