PT-2025-13791 · Amazon Web Services · Aws Sam Cli
Publicado
2025-03-31
·
Atualizado
2025-03-31
·
CVE-2025-3048
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
AWS Serverless Application Model Command Line Interface (SAM CLI) versões anteriores à 1.134.0
Descrição
O problema surge quando uma build é concluída com a AWS Serverless Application Model Command Line Interface (SAM CLI) que inclui links simbólicos (symlinks). O conteúdo desses symlinks é copiado para o cache do workspace local como arquivos ou diretórios comuns. Isso resulta em um usuário obtendo acesso aos symlinks através do workspace local, mesmo que não tenha acesso fora do container Docker.
Recomendações
Para versões anteriores à 1.134.0, atualize para a versão 1.134.0 e assegure que qualquer código forked ou derivado seja corrigido para incorporar as novas correções. Após a atualização, recompile os aplicativos usando o comando
sam build --use-container para atualizar os symlinks.Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Aws Sam Cli