佈告欄 ID：AWS-2025-027
範圍： Amazon
內容類型： 重要 (需要注意)
發布日期：2025 年 11 月 7 日上午 10:15 (太平洋夏令時間)

描述：

Amazon Ion-C 是 C 語言的程式庫，用於讀取與寫入 Amazon Ion 格式資料。

我們發現 CVE-2025-12829，其中描述 Ion-C 版本 <v1.1.4 中存在未初始化堆疊讀取問題，威脅行為者可能透過特製資料並將其序列化為 Ion 文字格式，導致記憶體中的敏感資料透過 UTF-8 跳脫序列外洩。

受影響版本：< v1.1.4

解決方案：

此問題已在 Ion-C 1.1.4 版本中得到解決。建議僅接受來自受信任來源、透過支援的 Ion 程式庫撰寫的資料。

參考資料：

• CVE-2025-12829
• GHSA-7mgf-6x73-5h7r

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。