CVE-2025-23206

Nome do Software Vulnerável e Versões Afetadas Versões do AWS Cloud Development Kit (AWS CDK) anteriores à 2.177.0

Descrição O problema diz respeito ao tratamento de pacotes de provedor de recursos personalizados do IAM OIDC pelo AWS Cloud Development Kit (AWS CDK). Especificamente, o método tls.connect define rejectUnauthorized: false, o que representa uma potencial preocupação de segurança. Isso poderia permitir que provedores OIDC não autorizados fossem conectados, embora o risco seja mitigado pelo ambiente Lambda e pelo fato de os usuários definirem a URL do emissor. O número estimado de dispositivos potencialmente afetados não foi fornecido. Não há incidentes reais relatados onde esse problema foi explorado. Os detalhes técnicos incluem o uso do método tls.connect com rejectUnauthorized: false, o que ignora a verificação contra CAs confiáveis, levando a um transporte inseguro. A opção rejectUnauthorized deve ser definida como true para seguir as melhores práticas.

Recomendações Atualize para a versão 2.177.0 ou posterior do AWS CDK. Após a atualização, defina a feature flag @aws-cdk/aws-iam:oidcRejectUnauthorizedConnections como true em cdk.context.json ou cdk.json. Como solução temporária, considere definir a variável de ambiente NODE TLS REJECT UNAUTHORIZED como 1, o que habilita a verificação TLS. Restrinja o acesso ao módulo vulnerável oidc-handler para minimizar o risco de exploração. Evite usar o método tls.connect com rejectUnauthorized: false no endpoint de API afetado até que o problema seja resolvido.