公告 ID：AWS-2025-027
范围： Amazon
内容类型： 重要提示（需要注意）
发布日期：2025 年 11 月 7 日上午 10:15（太平洋夏令时）

描述：

Amazon Ion-C 是一个 C 语言库，用于读写 Amazon Ion 数据。

我们发现了 CVE-2025-12829，它描述了 Ion-C 库在低于 v1.1.4 的版本中存在未初始化堆栈读取问题。威胁行为者可能会利用此问题，通过精心编写数据并将其序列化为 Ion 文本格式，从而通过 UTF-8 转义序列泄露内存中的敏感数据。

受影响的版本：< v1.1.4

解决方法：

该问题已在 Ion-C 版本 1.1.4 中予以解决。建议仅接受来自可信来源且使用受支持的 Ion 库编写的数据。

参考：

• CVE-2025-12829
• GHSA-7mgf-6x73-5h7r

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。