發布日期:2025 年 5 月 5 日上午 11:00 (太平洋夏令時間)
描述
AWS 套件 AWS Amplify Studio amplify-codegen-ui 可憑藉 UI Builder 實體 (元件、表單、檢視與主題) 產生前端程式碼,主要用於 Amplify Studio 中的元件預覽,以及在 AWS Command Line Interface (AWS CLI) 中為客戶本機應用程式產生元件檔案。
我們已識別 CVE-2025-4318,這是一個存在於 Amplify Studio UI 元件屬性中的輸入驗證問題。當使用 create-component 命令匯入元件結構描述時,Amplify Studio 會代表使用者匯入並產生該元件。表達式繫結函數在將元件結構描述屬性轉換為表達式之前,未將其驗證。因此,具有元件建立或修改權限的已驗證使用者,可以在元件轉譯與建構過程中執行任意 JavaScript 程式碼。
我們在 2.20.3 中發布了修正,建議使用者升級至該版本以解決此問題。此外,請確保對任何分支或衍生程式碼進行修補,以包含新的修正。
受影響的版本:2.20.2 及更早版本
解決方案:
修補程式已包含於 Amplify Studio aws-amplify/amplify-codegen-ui 2.20.3 版本中。建議您升級至最新版本,同時確保對任何分支或衍生程式碼進行修補,以包含新的修正。
參考資料:
如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com。