DJL CVE-2025-0851 Absolute Path Traversal
💡
原文英文,约400词,阅读约需2分钟。
📝
内容提要
DeepJavaLibrary(DJL)是一个开源Java深度学习框架,存在绝对路径遍历漏洞,影响版本<=0.31.1。攻击者可利用不同操作系统的分隔符构造恶意tar包,导致提取时生成攻击者控制的绝对路径。建议升级到最新版本以修复此问题。
🎯
关键要点
- DeepJavaLibrary(DJL)是一个开源的Java深度学习框架。
- DJL存在绝对路径遍历漏洞,影响版本<=0.31.1。
- 攻击者可利用不同操作系统的分隔符构造恶意tar包,导致提取时生成攻击者控制的绝对路径。
- 建议用户升级到最新版本以修复此问题。
- 漏洞的复现需要在不同操作系统上创建和解压缩压缩包。
- 攻击者可以通过构造特定的tar包绕过路径检测,导致安全隐患。
- 修复补丁已发布,建议尽快更新以确保安全。
❓
延伸问答
DJL是什么?
DJL是一个开源的Java深度学习框架,旨在让Java开发者易于使用。
DJL的绝对路径遍历漏洞是如何产生的?
该漏洞是由于在提取tar和zip文件时未能防止绝对路径遍历,攻击者可以利用不同操作系统的分隔符构造恶意tar包。
受影响的DJL版本有哪些?
受影响的DJL版本为0.31.1及以下版本。
如何修复DJL的绝对路径遍历漏洞?
建议用户升级到最新版本以修复此漏洞。
攻击者如何利用该漏洞进行攻击?
攻击者可以构造特定的tar包,绕过路径检测,导致生成攻击者控制的绝对路径。
在不同操作系统上如何复现该漏洞?
漏洞复现需要在不同操作系统上创建和解压缩压缩包,利用不同的分隔符进行测试。
➡️
