## AWS SDK for Ruby 2.0.48 捆绑高危漏洞 CVE-2022-32511，CVSS 评分 9.8
AWS 官方 Ruby SDK 的一个关键版本被发现捆绑了一个带有严重安全漏洞的依赖库，为依赖该 SDK 的应用程序引入了重大风险。安全扫描显示，`aws-sdk-2.0.48.gem` 包含一个易受攻击的 `jmespath-1.4.0.gem` 库，该库存在一个 CVSS 评分为 9.8 的已知漏洞（CVE-2022-32511）。此漏洞被归类为“严重”级别，且目前没有可用的官方修复方案。

该漏洞存在于 JMESPath 库中，这是一个用于 Ruby 的 JSON 查询语言实现，作为 AWS SDK 的传递性依赖被引入。漏洞详情显示其“利用成熟度”未定义，但 EPSS（漏洞利用预测评分系统）评分为 2.1%，表明存在被利用的可能性。对于使用此特定版本 AWS SDK 的 Ruby 项目，其依赖文件（如 `/Gemfile.lock`）中会包含此易受攻击的库路径，从而将风险直接引入应用供应链。

这一发现对依赖 AWS SDK for Ruby 进行云服务集成的开发团队构成了直接压力。由于修复版本“N/A”且“修复方案不可用”，开发人员面临两难选择：要么继续使用带有已知高危漏洞的 SDK，要么寻找替代方案或手动缓解措施。这凸显了在软件供应链中，即使是来自亚马逊 AWS 这样的主要云服务提供商的官方工具链，也可能成为安全风险的载体，迫使团队重新评估其依赖管理和安全扫描策略。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: AWS, Ruby, CVE-2022-32511, 供应链安全, 漏洞
- **Credibility**: unverified
- **Published**: 2026-04-16 18:22:54
- **ID**: 68002
- **URL**: https://whisperx.ai/en/intel/68002