AWS CDK RestApi 未在生成的 CFN 模板中正确生成 authorizationScope (CVE-2024-45037)

admin 2024-08-28 15:51:46 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
AWS CDK RestApi 未在生成的 CFN 模板中正确生成 authorizationScope (CVE-2024-45037)

CVE编号

CVE-2024-45037

利用情况

暂无

补丁情况

N/A

披露时间

2024-08-28
漏洞描述
AWS Cloud Development Kit (CDK) 是一个使用代码定义云基础设施的开源框架。客户使用它来创建自己的应用程序,并在部署到客户的 AWS 账户时将其转换为 AWS CloudFormation 模板。CDK 包含预先构建的组件,称为“构造”,这些组件是高级抽象,提供默认值和最佳实践。这种方法使开发人员能够使用熟悉的编程语言来定义复杂的云基础设施,比编写原始的 CloudFormation 模板更加高效。我们发现了 AWS Cloud Development Kit (CDK) 中的一个问题,在某些条件下,可能会导致授予经过身份验证的 Amazon Cognito 用户比预期更广泛的访问权限。具体来说,如果 CDK 应用程序使用带有 "CognitoUserPoolAuthorizer" 的 "RestApi" 构造作为授权器,并使用授权范围来限制访问。这个问题不会影响特定 API 资源的可用性。经过身份验证的 Cognito 用户可能会获得对受保护 API 资源或方法的意外访问权限,从而导致潜在的数据泄露和修改问题。受影响版本:>=2.142.0;<=2.148.0。CDK 版本 >=2.148.1 中包含了一个补丁。建议用户将其 AWS CDK 版本升级到 2.148.1 或更高版本,并重新部署其应用程序以解决此问题。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://docs.aws.amazon.com/cdk/v2/guide/home.html
https://github.com/aws/aws-cdk/commit/4bee768f07e73ab5fe466f9ad3d1845456a0513b
https://github.com/aws/aws-cdk/releases/tag/v2.148.1
https://github.com/aws/aws-cdk/security/advisories/GHSA-qj85-69xf-2vxq
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论:0   参与:  0