게시일: 2025년 5월 5일 오전 11시(PDT)
설명
AWS Amplify Studio amplify-codegen-ui는 UI Builder 엔터티(구성 요소, 양식, 뷰, 테마)에서 프론트엔드 코드를 생성하는 AWS 패키지로, Amplify Studio에서는 구성 요소 미리 보기에, AWS Command Line Interface(AWS CLI)에서는 고객 로컬 애플리케이션 내 구성 요소 파일 생성을 위해 사용됩니다.
이번에 확인된 CVE-2025-4318은 Amplify Studio UI 구성 요소 속성의 입력 검증 문제에 관한 것입니다. create-component 명령을 통해 구성 요소 스키마를 가져오면, Amplify Studio가 사용자 대신 해당 구성 요소를 가져와 생성합니다. 이 표현식 바인딩 함수는 해당 구성 요소 스키마의 속성을 표현식으로 변환하기 전에 유효성을 검사하지 않습니다. 따라서 구성 요소를 생성하거나 수정할 수 있는 인증 사용자는 구성 요소 렌더링 및 빌드 프로세스 중 임의의 JavaScript 코드를 실행할 수 있습니다.
2.20.3의 수정 사항이 릴리스되었으니, 업그레이드하여 해당 문제를 해결하실 것을 권장합니다. 또한 모든 포크 코드 또는 파생 코드를 패치하여 새로운 수정 사항을 적용해야 합니다.
영향을 받는 버전: 2.20.2 및 그 이전 버전
해결 방법:
이 패치는 Amplify Studio aws-amplify/amplify-codegen-ui 버전 2.20.3에 포함되어 있습니다. 모든 포크 코드 또는 파생 코드가 패치된 최신 버전으로 업그레이드하여 새로운 수정 사항을 반영하세요.
참고 사항:
보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.