Fecha de publicación: 29/01/2025 13:30 h PST

AWS identificó CVE-2025-0851, un problema de recorrido de ruta en ZipUtils.unzip y TarUtils.untar de Deep Java Library (DJL) en todas las plataformas que permite a un actor malicioso escribir archivos en ubicaciones arbitrarias. Si se aprovecha, un actor podría obtener acceso SSH inyectando una clave SSH en el archivo authorized_keys o cargar archivos HTML para aprovechar los problemas de scripting entre sitios. Podemos confirmar que este problema no se ha aprovechado. Se ha publicado una solución para este problema y recomendamos a los usuarios de DJL que actualicen a la versión 0.31.1 o posterior.

Versiones afectadas: 0.1.0 - 0.31.0

Resolución

Los parches están incluidos en DJL 0.31.1.

Referencia

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.