ID du bulletin : AWS-2025-027
Étendue : Amazon
Type de contenu : important (nécessite une attention particulière)
Date de publication : 07/11/2025 à 10 h 15 (heure du Pacifique)

Description :

Amazon Ion-C est une bibliothèque en langage C utilisée pour lire et écrire des données Amazon Ion.

Nous avons identifié le problème CVE-2025-12829, qui décrit un problème de lecture de pile non initialisée dans les versions d’Ion-C < v1.1.4. Ce problème peut permettre à un acteur malveillant de créer des données et de les sérialiser en texte Ion afin de pouvoir exposer les données sensibles en mémoire via des séquences d’échappement UTF-8.

Versions concernées : < v1.1.4

Résolution :

Ce problème a été résolu dans Ion-C version 1.1.4. Nous vous recommandons de n’accepter que des données provenant de sources fiables, écrites à l’aide d’une bibliothèque Ion prise en charge.

Références :

• CVE-2025-12829
• GHSA-7mgf-6x73-5h7r

Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.