CVE-2024-45037

AWS Cloud Development Kit (CDK), versões 2.142.0 a 2.148.0

A vulnerabilidade no AWS Cloud Development Kit (CDK) pode resultar na concessão de acesso mais amplo do que o pretendido a usuários autenticados do Amazon Cognito. Especificamente, se um aplicativo CDK usar a construção “RestApi” com “CognitoUserPoolAuthorizer” como autorizador e utilizar escopos de autorização para limitar o acesso, usuários autenticados do Cognito podem obter acesso não intencional a recursos ou métodos de API protegidos, levando a possíveis problemas de divulgação e modificação de dados.

Atualize sua versão do AWS CDK para 2.148.1 ou mais recente e reimplante sua(s) aplicação(ões) para resolver este problema.

Se você estiver usando versões do CDK anteriores à 2.142.0, não será afetado por este problema; no entanto, é recomendável atualizar para a versão mais recente para receber os recursos e correções mais recentes.

Confirme se sua(s) aplicação(ões) foi(foram) afetada(s) pesquisando por “CognitoUserPoolsAuthorizer” em sua aplicação CDK. Se ela for referenciada dentro da construção “RestApi” e o recurso ou método “RestApi” utilizar escopos de autorização para limitar o acesso, e você tiver implantado suas aplicações usando as versões afetadas do CDK, sua aplicação está afetada.