CVE-2025-3048

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-3048
After completing a build with AWS Serverless Application Model Command Line Interface (SAM CLI) which include symlinks, the content of those symlinks are copied to the cache of the local workspace as regular files or directories. As a result, a user who does not have access to those symlinks outside of the Docker container would now have access via the local workspace. Users should upgrade to version 1.134.0 and ensure any forked or derivative code is patched to incorporate the new fixes. After upgrading, users must re-build their applications using the sam build --use-container to update the symlinks.

6.5 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://aws.amazon.com/security/security-bulletins/AWS-2025-008/
https://github.com/aws/aws-sam-cli/releases/tag/v1.134.0
https://github.com/aws/aws-sam-cli/security/advisories/GHSA-pp64-wj43-xqcr
Configurations

No configuration.

History

14 Oct 2025, 20:15

Type Values Removed Values Added
CWE CWE-497
CWE-22		 CWE-61

14 Oct 2025, 19:15

Type Values Removed Values Added
Summary
  • (es) Tras completar una compilación con la Interfaz de Línea de Comandos del Modelo de Aplicación sin Servidor de AWS (SAM CLI) que incluye enlaces simbólicos, el contenido de estos se copia a la caché del espacio de trabajo local como archivos o directorios normales. Como resultado, un usuario que no tenga acceso a estos enlaces simbólicos fuera del contenedor Docker ahora podrá acceder a través del espacio de trabajo local. Los usuarios deben actualizar a la versión 1.134.0 y asegurarse de que cualquier código bifurcado o derivado esté parcheado para incorporar las nuevas correcciones. Tras la actualización, los usuarios deben reconstruir sus aplicaciones utilizando sam build --use-container para actualizar los enlaces simbólicos.
References
  • () https://github.com/aws/aws-sam-cli/releases/tag/v1.134.0 -

31 Mar 2025, 17:15

Type Values Removed Values Added
References
  • () https://github.com/aws/aws-sam-cli/security/advisories/GHSA-pp64-wj43-xqcr -

31 Mar 2025, 16:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-03-31 16:15

Updated : 2025-10-14 20:15

NVD link : CVE-2025-3048

Mitre link : CVE-2025-3048

CVE.ORG link : CVE-2025-3048

JSON object : View

Products Affected

No product.

CWE
CWE-61

UNIX Symbolic Link (Symlink) Following