Problema con DynamoDB local: CVE-2022-1471

Alcance: AWS
Tipo de contenido: importante (requiere atención)
Fecha de publicacion: 11/12/2024 2:00 p.m. PST

AWS es consciente de la existencia del problema CVE-2022-1471 en el software SnakeYaml, incluido en las distribuciones jar y Docker locales de DynamoDB a partir de la versión 1.21 y la versión 2.0. De ser explotado, este problema podría permitir a un actor ejecutar código de forma remota mediante el Constructor () de SnakeYaml, ya que el software no restringe los tipos que se pueden instanciar durante la deserialización. AWS no ha encontrado indicios de que este problema haya sido explotado; no obstante, los clientes deben continuar tomando las medidas necesarias. El 6 de noviembre de 2024, publicamos una solución para este problema. Los clientes deben actualizar DynamoDB local a la versión más reciente: v1.25.1 y superior, o 2.5.3 y superior.

Envíe un correo electrónico a aws-security@amazon.com si tiene alguna pregunta o inquietud sobre seguridad.