Deep Java Library 中的路徑周遊問題 – (CVE-2025-0851)

範圍：AWS
內容類型：重要 (需要注意)
出版日期：2022 年 1 月 29 日下午 1 時 30 分太平洋標準時間

AWS 發現了 CVE-2025-0851，這是一個在所有平台上的深度 Java 程式庫 (DJL) 中的 ZipUtils.unzip 和 TarUtils.untar 中的路徑穿越問題，允許惡意程式將檔案寫入任意位置。若遭利用，惡意人士可以透過將 SSH 金鑰注入 authorized_keys 檔案來取得 SSH 存取權限，還可以上傳 HTML 檔案來利用跨網站指令碼問題。我們可以確認該問題尚未遭利用。已發布此問題的修正程式，我們建議 DJL 的使用者升級至 0.31.1 或更新版本。

受影響的版本：0.1.0-0.31.0

解決方案

這些修補程式包含在 DJL 0.31.1 中。

參考資料

• CVE-2025-0851
• GHSA-6h2x-4gjf-jc5w

如有任何安全問題或疑慮，請發送電子郵件 aws-security@amazon.com 。