A AWS divulgou recentemente uma falha crítica de segurança no pacote @aws-amplify/codegen-ui, usado no AWS Amplify Studio plataforma que permite a criação visual de componentes de interface e exportação para código React. Registrada como CVE-2025-4318, a vulnerabilidade envolvia uma falha de validação de entradas em expressões JavaScript definidas por usuários e armazenadas em arquivos JSON. A falha foi classificada com gravidade 9,5 na escala CVSS.

O problema residia na forma como o pacote processava essas expressões JavaScript: de maneira insegura, sem sanitização ou isolamento, permitindo a execução de comandos arbitrários. Um invasor com acesso autenticado e permissões suficientes poderia injetar código malicioso nos componentes da interface. Ao serem processadas, essas expressões comprometeriam os servidores responsáveis pela geração de código, possibilitando execução remota de código (RCE).

As consequências potenciais eram severas: desde o comprometimento do ambiente de build até o roubo de informações sensíveis, como chaves de acesso da AWS e código-fonte, além do risco de interrupções de serviço e comprometimento da cadeia de fornecimento com a distribuição inadvertida de componentes maliciosos.

A AWS já corrigiu a vulnerabilidade na versão 2.20.3 do pacote, adotando um novo mecanismo de avaliação que isola a execução de expressões e valida rigorosamente as entradas, bloqueando qualquer tentativa de execução de comandos maliciosos. É recomendada a atualização imediata para a versão corrigida para mitigar o risco.