Data de publicação: 29/01/2025, 13:30 PST

A AWS identificou o CVE-2025-0851, um problema de passagem de caminho em ZipUtils.unzip e TarUtils.untar na Deep Java Library (DJL) em todas as plataformas, que permite a um usuário mal-intencionado gravar arquivos em locais arbitrários. Se esse problema for explorado, um usuário mal-intencionado poderá obter acesso SSH injetando uma chave SSH no arquivo authorized_keys ou fazendo upload de arquivos HTML para tirar proveito de problemas de cross-site scripting (XSS). Podemos confirmar que esse problema não foi explorado. Foi lançada uma correção para esse problema, e recomendamos que os usuários da DJL façam upgrade para a versão 0.31.1 ou posterior.

Versões afetadas: 0.1.0 - 0.31.0

Resolução

Os patches estão incluídos na DJL 0.31.1.

Referência

Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação relacionada à segurança.