Pular para o conteúdo principal

Problema com a CLI do AWS CDK e plug-ins de credenciais personalizados (CVE-2025-2598)

Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data da publicação: 2025/03/21 07:00 PDT

Descrição

A AWS identificou o CVE-2025-2598, um problema na interface de linha de comando do AWS Cloud Development Kit (AWS CDK) (AWS CDK CLI), versões 2.172.0 a 2.178.1. A CLI do AWS CDK é uma ferramenta de linha de comando que implanta aplicativos do AWS CDK em contas da AWS.

Quando os clientes executam comandos da CLI do AWS CDK com plug-ins de credenciais e configuram esses plug-ins para retornar credenciais temporárias incluindo uma propriedade “expiration”, esse problema pode fazer com que as credenciais da AWS recuperadas pelo plug-in sejam impressas na saída do console. Qualquer usuário com acesso ao local onde a CLI do CDK fosse executada teria acesso a essa saída. Lançamos uma correção para esse problema e recomendamos que os clientes atualizem para a versão 2.178.2 ou posterior para solucionar esse problema. Plug-ins que omitem a propriedade “expiration” não são afetados.

Para validar se as credenciais foram impressas na saída do console, os clientes podem realizar as seguintes ações:

  1. Identificar as execuções que processam a CLI do CDK iniciadas após 6 de dezembro de 2024.
  2. Examinar todos os logs dessas execuções para localizar instruções semelhantes às seguintes:
    {
    accessKeyId: '<secret>',
    secretAccessKey: '<secret>',
    sessionToken: '<secret>',
    expiration: <date>,
    '$source': <objeto. >
    }
  3. Se você identificar credenciais, estas poderão ser visualizadas por usuários que têm acesso ao console no qual a CLI do CDK foi executada. Dessa forma, recomendamos que você tome as medidas apropriadas, que podem incluir (mas não se limitam a):
     - Revogue todas as credenciais temporárias obtidas da função do AWS IAM usada pelo plug-in.
     - Limite os usuários que têm acesso à saída do console.
     - Alterne as credenciais de longa duração do usuário do AWS IAM usadas pelo plug-in (se houver).

Consulte nossa "Biblioteca AWS CDK CLI" para obter mais informações sobre plug-ins de credenciais personalizados.

Versões afetadas: 2.172.0 a 2.178.1

Resolução:

O problema foi resolvido na versão 2.178.2. Recomendamos fazer upgrade para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Referências:

Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação sobre segurança.