## AWS SDK for Ruby 2.0.48 捆绑高危漏洞 CVE-2022-32511，CVSS 评分 9.8
AWS 官方 Ruby SDK 的核心依赖库被曝出存在一个未修复的严重漏洞，直接威胁到依赖该 SDK 的 Ruby 应用程序安全。安全扫描显示，`aws-sdk-2.0.48.gem` 捆绑的 `jmespath-1.4.0.gem` 库存在编号为 CVE-2022-32511 的漏洞，其通用漏洞评分系统（CVSS）分数高达 9.8 分，属于最高级别的“严重”风险。该漏洞存在于 JMESPath 查询语言的 Ruby 实现中，是 AWS SDK 的传递性依赖，目前尚无官方修复版本可用，且自动修复方案显示为不可用状态。

此漏洞的发现源于对项目依赖文件 `/Gemfile.lock` 的自动化扫描，路径指向了缓存的 gem 包。尽管漏洞的利用成熟度尚未明确定义，但其极高的基础评分意味着一旦被利用，可能造成严重后果。JMESPath 库被广泛用于解析和查询 JSON 数据，是 AWS SDK 处理 API 响应的重要组件，这使得漏洞的影响范围可能波及所有使用此版本 SDK 的云服务和应用程序。

对于使用 `aws-sdk-2.0.48.gem` 的开发和运维团队而言，这构成了直接的安全债务。由于修复版本“N/A”且无可用补救措施，团队面临两难选择：要么承担已知的严重风险继续运行，要么寻求替代方案或手动干预来缓解威胁。这种情况凸显了在复杂软件供应链中，一个关键但非直接的第三方依赖可能成为整个系统安全链条中最薄弱的一环，并对云原生应用的安全基线构成持续压力。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: AWS, Ruby, CVE-2022-32511, Supply Chain Security, Vulnerability
- **Credibility**: unverified
- **Published**: 2026-04-22 02:22:41
- **ID**: 75194
- **URL**: https://whisperx.ai/en/intel/75194