Problema com a CLI do AWS CDK e plug-ins de credenciais personalizados (CVE-2025-2598)

Data de publicação: 21/03/2025, às 07:00 PDT

Descrição

A AWS identificou o CVE-2025-2598, um problema na Interface de linha de comandos (CLI) do AWS Cloud Development Kit (AWS CDK), versões 2.172.0 a 2.178.1. A CLI do AWS CDK é uma ferramenta de linha de comandos que implanta aplicações do AWS CDK em contas da AWS.

Quando os clientes executam comandos da CLI do AWS CDK com plug-ins de credenciais e configuram esses plug-ins para retornar credenciais temporárias incluindo uma propriedade “expiration”, esse problema pode fazer com que as credenciais da AWS recuperadas pelo plug-in sejam impressas na saída do console. Qualquer usuário com acesso ao local onde a CLI do CDK fosse executada teria acesso a essa saída. Lançamos uma correção para esse problema e recomendamos que os clientes façam upgrade para a versão 2.178.2 ou posterior para resolvê-lo. Plug-ins que omitem a propriedade “expiration” não são afetados.

Para validar se as credenciais foram impressas na saída do console, os clientes podem realizar as seguintes ações:

  1. Identificar as execuções que processam a CLI do CDK iniciadas após 6 de dezembro de 2024.
  2. Examinar todos os logs dessas execuções para localizar instruções semelhantes às seguintes:
    {
    accessKeyId: '<secret>',
    secretAccessKey: '<secret>',
    sessionToken: '<secret>',
    expiration: <date>,
    '$source': <object>
    }
  3. Se você identificar credenciais, estas poderão ser visualizadas por usuários que têm acesso ao console no qual a CLI do CDK foi executada. Dessa forma, recomendamos que você tome as medidas apropriadas, que podem incluir (mas não se limitam a):
    • Revogar todas as credenciais temporárias obtidas do perfil do AWS IAM usadas pelo plug-in.
    • Limitar os usuários que têm acesso à saída do console.
    • Alternar credenciais de longa duração do usuário do AWS IAM usadas pelo plug-in (se houver).

Consulte a “Biblioteca da CLI do AWS CDK” para obter mais informações sobre plug-ins de credenciais personalizados.

Versões afetadas: 2.172.0 a 2.178.1

Resolução:

O problema foi resolvido na versão 2.178.2. Recomendamos fazer upgrade para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Referências:

Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação sobre segurança.