CVE-2024-52338

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-52338
Deserialization of untrusted data in IPC and Parquet readers in the Apache Arrow R package versions 4.0.0 through 16.1.0 allows arbitrary code execution. An application is vulnerable if it reads Arrow IPC, Feather or Parquet data from untrusted sources (for example, user-supplied input files). This vulnerability only affects the arrow R package, not other Apache Arrow implementations or bindings unless those bindings are specifically used via the R package (for example, an R application that embeds a Python interpreter and uses PyArrow to read files from untrusted sources is still vulnerable if the arrow R package is an affected version). It is recommended that users of the arrow R package upgrade to 17.0.0 or later. Similarly, it is recommended that downstream libraries upgrade their dependency requirements to arrow 17.0.0 or later. If using an affected version of the package, untrusted data can read into a Table and its internal to_data_frame() method can be used as a workaround (e.g., read_parquet(..., as_data_frame = FALSE)$to_data_frame()). This issue affects the Apache Arrow R package: from 4.0.0 through 16.1.0. Users are recommended to upgrade to version 17.0.0, which fixes the issue.

9.8 /10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://github.com/apache/arrow/commit/801de2fbcf5bcbce0c019ed4b35ff3fc863b141b
https://lists.apache.org/thread/0rcbvj1gdp15lvm23zm601tjpq0k25vt
http://www.openwall.com/lists/oss-security/2024/11/28/3
Configurations

No configuration.

History

29 Nov 2024, 15:15

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 9.8
Summary
  • (es) La deserialización de datos no confiables en lectores IPC y Parquet en las versiones 4.0.0 a 16.1.0 del paquete Apache Arrow R permite la ejecución de código arbitrario. Una aplicación es vulnerable si lee datos IPC, Feather o Parquet de Arrow de fuentes no confiables (por ejemplo, archivos de entrada proporcionados por el usuario). Esta vulnerabilidad solo afecta al paquete R arrow, no a otras implementaciones o enlaces de Apache Arrow a menos que esos enlaces se utilicen específicamente a través del paquete R (por ejemplo, una aplicación R que incorpora un intérprete de Python y utiliza PyArrow para leer archivos de fuentes no confiables sigue siendo vulnerable si el paquete R arrow es una versión afectada). Se recomienda que los usuarios del paquete R arrow actualicen a la versión 17.0.0 o posterior. De manera similar, se recomienda que las bibliotecas posteriores actualicen sus requisitos de dependencia a arrow 17.0.0 o posterior. Si se utiliza una versión afectada del paquete, se pueden leer datos no confiables en una tabla y se puede utilizar su método interno to_data_frame() como solución alternativa (por ejemplo, read_parquet(..., as_data_frame = FALSE)$to_data_frame()). Este problema afecta al paquete Apache Arrow R: desde la versión 4.0.0 hasta la 16.1.0. Se recomienda a los usuarios que actualicen a la versión 17.0.0, que soluciona el problema.

28 Nov 2024, 20:15

Type Values Removed Values Added
References
  • () http://www.openwall.com/lists/oss-security/2024/11/28/3 -

28 Nov 2024, 17:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-11-28 17:15

Updated : 2024-11-29 15:15

NVD link : CVE-2024-52338

Mitre link : CVE-2024-52338

CVE.ORG link : CVE-2024-52338

JSON object : View

Products Affected

No product.

CWE
CWE-502

Deserialization of Untrusted Data