CVE-2022-31159

ALT: (7.9)

CVSS3: 6.9

El SDK d’AWS per a Java podria permetre a un atacant remot autenticat canviar de directoris en el sistema, causat per un defecte en el mètode downloadDirectory del component AWS S3 TransferManager. Un atacant podria enviar una sol·licitud d’URL especialment dissenyada que contingui seqüències de “punts” (/../) per a escriure arxius arbitraris en el sistema.

Sistemes Afectats

• AWS SDK for Java 1.12.260

Remediació
Actualitzi a l’última versió d’AWS SDK per a Java (1.12.261 o posterior), disponible en el repositori GIT d’AWS SDK per a Java.

Referències

• https://github.com/aws/aws-sdk-java/security/advisories/GHSA-c28r-hw5m-5gv3
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31159