Problema de recorrido de ruta en Deep Java Library (CVE-2025-0851)
Alcance: AWS
Tipo de contenido: importante (requiere atención)
Fecha de publicacion: 29/01/2020 1:30 p.m. PST
AWS identificó el CVE-2025-0851, un problema de desplazamiento de rutas en Ziputils.unzip y Tarutils.untar de Deep Java Library (DJL) en todas las plataformas que permite a un usuario inapropiado escribir archivos en ubicaciones arbitrarias. Si se aprovecha, un actor podría obtener acceso SSH inyectando una clave SSH en el archivo authorized_keys o cargar archivos HTML para aprovechar los problemas de scripting entre sitios. Podemos confirmar que este problema no se ha aprovechado. Se ha publicado una solución para este problema y recomendamos a los usuarios de DJL que actualicen a la versión 0.31.1 o posterior.
Versiones afectadas: 0.1.0 - 0.31.0
Resolución
Los parches están incluidos en DJL 0.31.1.
Referencia
Envíe un correo electrónico a aws-security@amazon.com si tiene alguna pregunta o inquietud sobre seguridad.