Aws Software Development Kit
Уязвимости
4
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.01831
Распределение по критичности
Критический
1
Высокий
1
Средний
1
Низкий
1
Затронутые диапазоны версий
< 1.34.0< 2.59.1< 3.288.1≤ 2.8.5
Также сопоставлено как (исходные строки): aws_software_development_kit
Топ уязвимостей
CVE-2022-4725Уязвимость была обнаружена в AWS SDK 2.59.0. Ей присвоена критическая оценка. Эта проблема затрагивает функцию XpathUtils файла aws-android-sdk-core/src/main/java/com/amazonaws/util/XpathUtils.java компонента XML Parser. Манипуляция приводит к подделке запроса на стороне сервера. Обновление до версии 2.59.1 позволяет решить эту проблему. Имя патча — c3e6d69422e1f0c80fe53f2d757b8df97619af2b. Рекомендуется обновить затронутый компонент. Идентификатор VDB-216737 был присвоен этой уязвимости.
CVE-2018-19981Amazon AWS SDK <=2.8.5 для Android использует Android SharedPreferences для хранения открытого текста временных учетных данных AWS STS, полученных службой AWS Cognito Identity Service. Злоумышленник может использовать эти учетные данные для создания аутентифицированных и/или авторизованных запросов. Обратите внимание, что злоумышленник должен иметь права «root» для доступа к файловой системе Android, чтобы использовать эту уязвимость (т. е. устройство было скомпрометировано, например, путем отключения или обхода основных механизмов безопасности Android).
CVE-2022-2582AWS S3 Crypto SDK отправляет незашифрованный хеш открытого текста вместе с зашифрованным текстом в качестве поля метаданных. Этот хеш может быть использован для перебора открытого текста, если хеш доступен для чтения злоумышленнику. В настоящее время AWS блокирует это поле метаданных, но старые версии SDK все еще отправляют его.
CVE-2023-51651AWS SDK для PHP - это комплект разработки программного обеспечения Amazon Web Services для PHP. В рамках запросов к ключам объектов S3 и/или префиксам, содержащим Unix double-dot, возможен обход URI-пути. Проблема существует в методе `buildEndpoint` компонента RestSerializer AWS SDK для PHP v3 до 3.288.1. Метод `buildEndpoint` использует утилиту Guzzle Psr7 UriResolver, которая удаляет точечные сегменты из пути запроса в соответствии с RFC 3986. При определенных условиях это может привести к несанкционированному доступу к произвольному объекту. Эта проблема была исправлена в версии 3.288.1.