AWS CDK CLI 與自訂憑證外掛程式的問題 (CVE-2025-2598)

範圍：AWS
內容類型：重要 (需要注意)
出版日期:2022 年 3 月 21 日 (太平洋時間) 上午七時

描述

AWS 發現了 CVE-2025-2598，這是 AWS 雲端開發套件 (AWS CDK) 命令列介面 (AWS CDK CLI) 版本 2.172.0 至 2.178.1 版本中的問題。AWS CDK CLI 是一種命令列工具，可將 AWS CDK 應用程式部署到 AWS 帳戶。

當客戶使用憑證外掛程式執行 AWS CDK CLI 命令，並將這些外掛程式設定為透過包含到期屬性來傳回暫時憑證時，此問題可能導致外掛程式擷取的 AWS 憑證列印至主控台輸出中。任何有權限存取 CDK CLI 執行位置的使用者都可以存取此輸出。我們已發布此問題的修正，建議客戶升級至 2.178.2 或更新版本以解決此問題。忽略到期屬性的外掛程式不受影響。

若要驗證憑證是否已列印至主控台輸出，客戶可以採取下列動作：

1. 識別在 2024 年 12 月 6 日之後開始執行 CDK CLI 的動作。
2. 掃描這些執行的任何日誌，找到類似如下的陳述式：
   {
   accessKeyId: '<secret>',
   secretAccessKey: '<secret>',
   sessionToken: '<secret>',
   expiration: <date>,
   '$ 來源'：< 對象。>
   }
   
3. 如果識別到憑證，則有權限存取執行 CDK CLI 之主控台的使用者可以檢視這些憑證。因此，我們建議您採取適當的行動，包括 (但不限於)：
    -撤銷從外掛程式使用的 AWS IAM 角色取得的所有臨時認證。
    -限制可存取控制台輸出的使用者。
    -旋轉外掛程式使用的 AWS IAM 使用者的長壽命認證（如果有的話）。

如需有關自訂認證外掛程式的詳細資訊，請參閱我們的「AWS CDK CLI 程式庫」。

受影響的版本：2.172.0 至 2.178.1

解決方案：

已解決 2.178.2 版本中的此問題。建議您升級至最新版本，同時確保對任何分支或衍生程式碼進行了修補以包含新的修正。

參考資料：

• GHSA-v63m-x9r9-8gqp
• CVE-2025-2598

如有任何安全問題或疑慮，請傳送電子郵件至 aws-security@amazon.com。