Data di pubblicazione: 11/12/2024 14:00 PST

AWS è a conoscenza del CVE-2022-1471 nel software SnakeYaml, incluso nelle distribuzioni jar DynamoDB in locale e Docker a partire dalla versione 1.21 e 2.0. Se sfruttato, questo problema potrebbe permettere a un attore di eseguire il codice in modalità remota utilizzando Constructor () di SnakeYaml, poiché il software non limita i tipi che possono essere istanziati durante la deserializzazione. AWS non ha rilevato che questo problema sia stato sfruttato, tuttavia i clienti dovrebbero comunque prendere provvedimenti. Il 6 novembre 2024 abbiamo rilasciato una correzione per questo problema. I clienti devono aggiornare DynamoDB in locale alla versione più recente: v1.25.1 e successive, oppure 2.5.3 e successive.

Inviare un'e-mail ad aws-security@amazon.com per eventuali domande o dubbi sulla sicurezza.