CVE-2025-4318 – AWS Amplify Studio UI 元件屬性中的輸入驗證問題
範圍:AWS
內容類型:重要 (需要注意)
出版日期:2022 年 5 月 5 日美國時間早上 11 時
描述
AWS Amplify Studio amplify-codegen-ui 是一個 AWS 套件,可從 UI 建置器實體(元件、表單、檢視和佈景主題)產生前端程式碼,主要用於 Amplify Studio 用於元件預覽,以及在 AWS 命令行介面 (AWS CLI) 中用於在客戶本機應用程式中產生元件檔案
我們發現了 CVE-2025-4318,這是 Amplify Studio UI 元件屬性中的輸入驗證問題。使用 create-component 指令匯入元件結構描述時,Amplify Studio 會代表使用者匯入並產生元件。表達式繫結函數在將元件結構描述屬性轉換為表達式之前,未將其驗證。因此,具有元件建立或修改權限的已驗證使用者,可以在元件轉譯與建構過程中執行任意 JavaScript 程式碼。
我們在 2.20.3 中發布了修正程式,建議使用者升級以解決此問題。此外,請確保對任何分支或衍生程式碼進行修補,以包含新的修正。
受影響的版本:<= 2.20.2
解析度:
這些補丁包含在 Amplify Studio aws-放大器/放大代碼-UI 版本 2.20.3 中。建議您升級至最新版本,同時確保修補任何分支或衍生程式碼,以包含新的修正。
參考資料:
如有任何安全問題或疑慮,請發送電子郵件 aws-security@amazon.com 。