AWS 四年三次现同款关键 RCE 漏洞

据Cybersecuritynews消息，AWS在过去四年里，其 Neuron SDK 三次出现相同的远程代码执行（RCE）漏洞，暴露出其 Python 包安装流程的重大安全疏漏。 2022年4月，长颈鹿安全公司（Giraffe Security）首次发现该问题，源于 AWS 官方安装指令中 “--extra-index-url” 参数隐患，它未限制包仅从指定私有库下载，会搜索默认公共 PyPi 库，致恶意包可乘之机。当年AWS虽有应对，却未解决根本问题。追溯发现，2020 年其 “torch-neuron” 包就曾暴露类似风险。 2024 年 12 月调查显示漏洞再现，AWS未提前在PyPi注册新包名。