Gavinzz

**Nome do Software Vulnerável e Versões Afetadas** Versões do AWS Cloud Development Kit (AWS CDK) anteriores à 2.177.0 **Descrição** O problema diz respeito ao tratamento de pacotes de provedor de recursos personalizados do IAM OIDC pelo AWS Cloud Development Kit (AWS CDK). Especificamente, o método `tls.connect` define `rejectUnauthorized: false`, o que representa uma potencial preocupação de segurança. Isso poderia permitir que provedores OIDC não autorizados fossem conectados, embora o risco seja mitigado pelo ambiente Lambda e pelo fato de os usuários definirem a URL do emissor. O número estimado de dispositivos potencialmente afetados não foi fornecido. Não há incidentes reais relatados onde esse problema foi explorado. Os detalhes técnicos incluem o uso do método `tls.connect` com `rejectUnauthorized: false`, o que ignora a verificação contra CAs confiáveis, levando a um transporte inseguro. A opção `rejectUnauthorized` deve ser definida como `true` para seguir as melhores práticas. **Recomendações** Atualize para a versão 2.177.0 ou posterior do AWS CDK. Após a atualização, defina a feature flag `@aws-cdk/aws-iam:oidcRejectUnauthorizedConnections` como `true` em `cdk.context.json` ou `cdk.json`. Como solução temporária, considere definir a variável de ambiente `NODE TLS REJECT UNAUTHORIZED` como 1, o que habilita a verificação TLS. Restrinja o acesso ao módulo vulnerável `oidc-handler` para minimizar o risco de exploração. Evite usar o método `tls.connect` com `rejectUnauthorized: false` no endpoint de API afetado até que o problema seja resolvido.