Problema de passagem de caminho na Deep Java Library: (CVE-2025-0851)
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data da publicação: 2025/01/29 13:30 PST
A AWS identificou o CVE-2025-0851, um problema de passagem de caminho em ZipUtils.unzip e Tarutils.untar na Deep Java Library (DJL) em todas as plataformas que permite que um malfeitor grave arquivos em locais arbitrários. Se esse problema for explorado, um usuário mal-intencionado poderá obter acesso SSH injetando uma chave SSH no arquivo authorized_keys ou fazendo upload de arquivos HTML para tirar proveito de problemas de cross-site scripting (XSS). Podemos confirmar que esse problema não foi explorado. Uma correção para esse problema foi lançada e recomendamos que os usuários do DJL atualizem para a versão 0.31.1 ou posterior.
Versões afetadas: 0.1.0 - 0.31.0
Resolução
Os patches estão incluídos na DJL 0.31.1.
Referência
Envie um e-mail para aws-security@amazon.com com quaisquer perguntas ou preocupações de segurança.