AWS CDK aws-cdk-lib 曝安全漏洞：Cognito UserPoolClient 构造可能将敏感信息写入日志文件

AWS Cloud Development Kit (CDK) 的核心库 `aws-cdk-lib` 被曝存在一个中等严重性安全漏洞。当开发者使用库中的 `Cognito UserPoolClient` 构造来定义 Amazon Cognito 用户池客户端时，该漏洞可能导致敏感信息被意外插入并记录到日志文件中。这一缺陷影响了 `aws-cdk-lib` 版本 `>= 2.37.0` 且 `< 2.187.0` 的广泛范围，CVSS 评分为 6.5。

AWS CDK 是一个用于通过代码定义云基础设施的开源框架，其 `aws-cdk-lib` 库包含了大量预构建的“构造”，旨在为开发者提供更高级别的抽象、默认配置和最佳实践。此次漏洞的根源在于 `Cognito UserPoolClient` 构造在处理特定配置时，未能妥善处理敏感数据，使得这些数据可能出现在部署过程或应用程序运行时生成的日志中。虽然漏洞本身不直接暴露数据给外部攻击者，但日志文件若被不当存储、传输或访问，则可能成为内部或外部威胁行为者的目标，从而引发信息泄露风险。

该漏洞对所有使用受影响版本 `aws-cdk-lib` 并部署了 Cognito UserPoolClient 资源的 AWS CDK 项目构成潜在威胁。开发团队需要立即审查其项目依赖版本，并关注 AWS 官方即将发布的修复版本。在补丁可用前，建议团队审查其日志管理策略，确保包含潜在敏感信息的日志得到适当保护，并评估是否需要在部署流程中增加额外的日志内容审查或过滤步骤。