CVE-2025-0851

Nome do Software Vulnerável e Versões Afetadas Deep Java Library (DJL) versões 0.1.0 a 0.31.0

Descrição Uma vulnerabilidade de traversão de caminho em ZipUtils.unzip e TarUtils.untar na Deep Java Library (DJL) em todas as plataformas permite que um agente mal-intencionado grave arquivos em locais arbitrários. Este problema existe devido à falta de proteção contra traversão de caminho absoluto durante o processo de extração de pacotes de modelo tar e zip. O problema pode ser explorado ao extrair pacotes criados em diferentes sistemas operacionais, permitindo que um atacante grave artefatos fora do destino pretendido.

Recomendações Para as versões 0.1.0 a 0.31.0, atualize para a versão 0.31.1 ou posterior para resolver o problema. Como solução alternativa temporária, não utilize pacotes de modelo de fontes nas quais você não confia e utilize apenas pacotes de modelo de fontes oficiais, como o DJL Model Zoo, ou modelos que você mesmo criou e empacotou.