Data de publicação: 05/05/2025, às 11h PDT
Descrição
O AWS Amplify Studio amplify-codegen-ui é um pacote da AWS que gera código frontend a partir de entidades do UI Builder (componentes, formulários, visualizações e temas), usado principalmente no Amplify Studio para visualizações de componentes e na AWS Command Line Interface (AWS CLI) para gerar arquivos de componentes nas aplicações locais dos clientes
Identificamos o CVE-2025-4318, um problema de validação de entrada nas propriedades de componentes de interface do usuário do Amplify Studio. Ao importar um esquema de componente usando o comando create-component, o Amplify Studio importará e gerará o componente em nome dos usuários. A função de vinculação de expressão não valida as propriedades do esquema do componente antes de convertê-las em expressões. Como resultado, um usuário autenticado que pode criar ou modificar componentes pode executar um código JavaScript arbitrário durante o processo de renderização e construção do componente.
Lançamos uma correção na versão 2.20.3 e recomendamos que os usuários façam a atualização para resolver esse problema. Além disso, certifique-se de que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.
Versão afetada: <=2.20.2
Resolução:
Os patches estão incluídos no Amplify Studio aws-amplify/amplify-codegen-ui versão 2.20.3. Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.
Referências:
Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.