Уязвимость BDU:2025-01109

Идентификатор: BDU:2025-01109.

Наименование уязвимости: Уязвимость функций unzip() и untar() библиотеки для глубокого обучения Deep Java Library (DJL), позволяющая нарушителю записывать произвольные файлы.

Описание уязвимости: Уязвимость функций unzip() и untar() библиотеки для глубокого обучения Deep Java Library (DJL) связана с некорректным внешним управлением именем или путем файла. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, записывать произвольные файлы
Уязвимое ПО: Прикладное ПО информационных систем Amazon.com Inc. Deep Java Library (DJL) от 0.1.0 до 0.31.0 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 29.01.2025.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Критический уровень опасности (оценка CVSS 4.0 составляет 9,3)

Возможные меры по устранению:
Использование рекомендаций:
https://aws.amazon.com/security/vulnerability-reporting
https://github.com/deepjavalibrary/djl/releases/tag/v0.31.1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-0851.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.anti-malware.ru/news/2025-02-03-114534/45174
https://github.com/deepjavalibrary/djl/security/advisories/GHSA-jcrp-x7w3-ffmg
https://aws.amazon.com/security/vulnerability-reporting