Data di pubblicazione: 29/01/2025 13:30 PST

AWS ha identificato CVE-2025-0851, una vulnerabilità di path traversal in ZipUtils.unzip e TarUtils.untar nella Deep Java Library (DJL) su tutte le piattaforme, che consente a un malintenzionato di scrivere file in posizioni arbitrarie. Se sfruttata, un malintenzionato potrebbe ottenere l'accesso SSH inserendo una chiave SSH nel file authorized_keys o caricando dei file HTML per sfruttare i problemi di script tra i siti. Confermiamo che questo problema non è stato sfruttato. È stata rilasciata una correzione per questo problema e si consiglia agli utenti di DJL di eseguire l'aggiornamento alla versione 0.31.1 o successiva.

Versioni interessate: 0.1.0 - 0.31.0

Risoluzione

Le patch sono incluse in DJL 0.31.1.

Documentazione di riferimento

Inviare un'e-mail ad aws-security@amazon.com per eventuali domande o dubbi sulla sicurezza.