Vulnerabilidad en GitHub, Inc. (CVE-2024-45037)

El kit de desarrollo de la nube (CDK) de AWS es un framework de código abierto para definir la infraestructura de la nube mediante código. Los clientes lo utilizan para crear sus propias aplicaciones que se convierten en plantillas de AWS CloudFormation durante la implementación en la cuenta de AWS del cliente. CDK contiene componentes prediseñados llamados "construcciones" que son abstracciones de nivel superior que proporcionan valores predeterminados y mejores prácticas. Este enfoque permite a los desarrolladores utilizar lenguajes de programación familiares para definir una infraestructura de nube compleja de manera más eficiente que escribir plantillas de CloudFormation sin procesar. Identificamos un problema en el kit de desarrollo de la nube (CDK) de AWS que, bajo ciertas condiciones, puede dar lugar a que se otorgue a los usuarios autenticados de Amazon Cognito un acceso más amplio del previsto. Específicamente, si una aplicación CDK usa la construcción "RestApi" con "CognitoUserPoolAuthorizer" como autorizador y usa alcances de autorización para limitar el acceso. Este problema no afecta la disponibilidad de los recursos API específicos. Los usuarios autenticados de Cognito pueden obtener acceso no deseado a recursos o métodos de API protegidos, lo que puede generar problemas de modificación y divulgación de datos. Versiones afectadas: >=2.142.0;<=2.148.0. Se incluye un parche en las versiones CDK >=2.148.1. Se recomienda a los usuarios que actualicen su versión de AWS CDK a 2.148.1 o más reciente y vuelvan a implementar sus aplicaciones para solucionar este problema.