关键信息 漏洞标题 Integer Overflow issue in Amazon Ion-C 漏洞ID GHSA-7mgf-6x73-5h7r CVE-2025-12829 严重性 Moderate CVSS v4 base metrics: 6.9/10 受影响的版本 <1.1.4 已修复版本 1.1.4 描述 摘要: - Amazon's Ion-C 是一个用于读写 Amazon Ion 数据的 C 语言库。在某些情况下,该库可能会读取未初始化的堆栈数据,导致内存泄露。 影响: - Amazon's Ion-C 库版本 <1.1.4 中的未初始化堆栈数据读取问题可能允许威胁行为者通过 UTF-8 转义序列暴露内存中的敏感数据。 补丁: - 该问题已在 Ion-C 版本 1.1.4 中解决。建议仅接受来自受信任来源的数据,这些数据使用受支持的 Ion 库编写。 CVSS v4 基本指标 利用性指标 - 攻击载体: Local - 攻击复杂度: Low - 攻击需求: None - 所需权限: None - 用户交互: None 脆弱系统影响指标 - 机密性: High - 完整性: None - 可用性: None 后续系统影响指标 - 机密性: None - 完整性: None - 可用性: None 弱点 CWE-125 参考资料 如果有关于此公告的任何问题或意见,请联系 AWS 安全团队通过 vulnerability reporting page 或直接通过电子邮件发送至 aws-security@amazon.com。请勿创建公共 GitHub 问题。