Data de publicação: 29/01/2025, 13:30 PST
A AWS identificou o CVE-2025-0851, um problema de passagem de caminho em ZipUtils.unzip e TarUtils.untar na Deep Java Library (DJL) em todas as plataformas, que permite a um usuário mal-intencionado gravar arquivos em locais arbitrários. Se esse problema for explorado, um usuário mal-intencionado poderá obter acesso SSH injetando uma chave SSH no arquivo authorized_keys ou fazendo upload de arquivos HTML para tirar proveito de problemas de cross-site scripting (XSS). Podemos confirmar que esse problema não foi explorado. Foi lançada uma correção para esse problema, e recomendamos que os usuários da DJL façam upgrade para a versão 0.31.1 ou posterior.
Versões afetadas: 0.1.0 - 0.31.0
Resolução
Os patches estão incluídos na DJL 0.31.1.
Referência
Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação relacionada à segurança.