Vulnerabilidad en AWS Cloud Development Kit (CVE-2025-23206)

AWS Cloud Development Kit (AWS CDK) es un software de desarrollo de código abierto framework para definir la infraestructura de la nube en código y aprovisionarla a través de AWS CloudFormation. Los usuarios que usan el paquete de proveedor de recursos personalizado de IAM OIDC descargarán CA Thumbprints como parte del flujo de trabajo de recursos personalizado. Sin embargo, el método `tls.connect` actual siempre establecerá `rejectUnauthorized: false`, lo que es un posible problema de seguridad. CDK debería seguir las mejores prácticas y establecer `rejectUnauthorized: true`. Sin embargo, esto podría ser un cambio radical para las aplicaciones CDK existentes y deberíamos solucionarlo con una marca de función. Tenga en cuenta que esto está marcado como un aviso de seguridad de baja gravedad porque la URL del emisor la proporcionan los usuarios de CDK que definen la aplicación CDK. Si insisten en conectarse a un proveedor de OIDC no autorizado, CDK no debería prohibirlo. Además, el bloque de código se ejecuta en un entorno Lambda que mitiga el ataque MITM. El parche está en proceso. Para mitigar este problema, actualice a CDK v2.177.0 (fecha de lanzamiento prevista: 22/02/2025). Una vez actualizado, los usuarios deben asegurarse de que la marca de función '@aws-cdk/aws-iam:oidcRejectUnauthorizedConnections' esté configurada como verdadera en `cdk.context.json` o `cdk.json`. No se conocen workarounds para esta vulnerabilidad.