一、 漏洞 CVE-2025-4318 基础信息
漏洞信息
# AWS Amplify Studio UI 组件属性中的输入验证问题
## 概述
AWS Amplify Studio UI 组件属性表达式在 `aws-amplify/amplify-codegen-ui` 包中缺乏输入验证,这可能导致认证用户在组件渲染和构建过程中执行任意 JavaScript 代码。
## 影响版本
未指定具体版本。
## 细节
- 在 `aws-amplify/amplify-codegen-ui` 包中,UI 组件属性表达式的输入验证不足。
- 具有创建或修改组件权限的认证用户可以利用此漏洞执行任意 JavaScript 代码。
## 影响
认证用户可能在组件渲染和构建过程中执行任意 JavaScript 代码,从而可能造成安全风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Input validation issue in AWS Amplify Studio UI component properties
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The AWS Amplify Studio UI component property expressions in the aws-amplify/amplify-codegen-ui package lack input validation. This could potentially allow an authenticated user who has access to create or modify components to run arbitrary JavaScript code during the component rendering and build process.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
动态执行代码中指令转义处理不恰当(Eval注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Amplify Codegen UI 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Amplify Codegen UI是AWS Amplify开源的一个生成用于AWS Amplify项目的React组件。 Amplify Codegen UI存在安全漏洞,该漏洞源于AWS Amplify Studio UI组件属性表达式缺少输入验证,可能导致执行任意JavaScript代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-4318 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-4318 的情报信息
-
标题: CVE-2025-4318 - Input validation issue in AWS Amplify Studio UI component properties -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-4318