Se ha identificado una vulnerabilidad en el Apache Arrow R package, utilizado para procesar datos en formatos IPC, Feather y Parquet. Este problema surge al deserializar datos de archivos maliciosos, lo que podría derivar en comportamientos inesperados si se procesan entradas provenientes de fuentes no confiables.
- CVE-2024-52338 (CVSS 9.8): Esta vulnerabilidad de deserialización de datos no confiables en los lectores de IPC y Parquet, puede ser explotada para ejecutar código arbitrario. Esto ocurre cuando una aplicación procesa archivos maliciosos en estos formatos, permitiendo a los atacantes ejecutar instrucciones arbitrarias en el entorno de la aplicación.
Productos y versiones afectadas:
- Versiones desde la 4.0.0 hasta 16.1.0 de Apache Arrow R package.
Solución:
- Actualizar a la versión 17.0.0 o posterior.
Recomendaciones:
- Instalar la última versión disponible para remediar la vulnerabilidad.
- Revisar y validar el origen de los archivos antes de procesarlos con el paquete.
- Asegurar que las bibliotecas descendientes utilicen versiones actualizadas de Apache Arrow.
Referencias: