Deep Java Library 中的路径遍历问题 –（CVE-2025-0851）

范围：AWS
内容类型：重要提示（需要注意）
发布日期：太平洋标准时间 2025/01/29 下午 1:30

AWS 发现了 CVE-2025-0851，这是所有平台上的 Deep Java 库 (DJL) 中的 Ziputils.unzip 和 Tarutils.untar 中的一个路径遍历问题，允许不良行为者将文件写入任意位置。如果被利用，不法分子可以通过向 authorized_keys 文件注入 SSH 密钥来获得 SSH 访问权限，或者上传 HTML 文件来利用跨站脚本问题。我们可以确认此问题没有被利用。此问题的修复程序已经发布，我们建议 DJL 用户升级到 0.31.1 或更高版本。

受影响的版本：0.1.0-0.31.0

解决方法

这些补丁包含在 DJL 0.31.1 中。

参考

• CVE-2025-0851
• GHSA-6h2x-4gjf-jc5w

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com 。