Fecha de publicación: 12/11/2024 14.00 h PST
AWS es consciente de la existencia del problema CVE-2022-1471 en el software SnakeYaml, incluido en las distribuciones jar y Docker locales de DynamoDB a partir de la versión 1.21 y la versión 2.0. De ser explotado, este problema podría permitir a un actor ejecutar código de forma remota mediante el Constructor () de SnakeYaml, ya que el software no restringe los tipos que se pueden instanciar durante la deserialización. AWS no ha encontrado indicios de que este problema haya sido explotado; no obstante, los clientes deben continuar tomando las medidas necesarias. El 6 de noviembre de 2024, publicamos una solución para este problema. Los clientes deben actualizar DynamoDB local a la versión más reciente: v1.25.1 y superior, o 2.5.3 y superior.
Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.