【漏洞预警】Apache Arrow PyArrow 任意代码执行

2023年11月11日00:17:47评论30 views字数 499阅读1分39秒阅读模式

漏洞描述：
Apache Arrow是一个跨语言的开发平台，PyArrow是Apache Arrow的Python库，为Apache Arrow的C++实现提供了Python API。由于Apache Arrow 的 PyArrow从不受信任的源读取Arrow IPC、Feather或Parquet数据，PyExtensionType创建了自动加载功能允许从非PyArrow的源反序列化数据。当使用PyExtensionType创建PyArrow特定的扩展类型时，攻击者可以构造恶意的Arrow IPC、Feather或Parquet数据，造成恶意代码执行。

影响范围：
pyarrow[0.14.0, 14.0.1)

修复方案：
将组件pyarrow到14.0.1或更高版本

参考链接：
https://github.com/apache/arrow/commit/c73cb13b9f89493f9fb91da854f95aa38bd86cc7

https://github.com/apache/arrow/pull/38608

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Apache Arrow PyArrow 任意代码执行

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞预警】Apache Arrow PyArrow 任意代码执行

CVE-2024-2389 命令执行漏洞(附EXP)

CVE-2024-4040 CrushFTP 中的身份验证绕过和任意文件读取

利用 PUT 方法导致三星远程代码执行 (RCE)

泛微E-Mobile 6.0 client.do 命令执行漏洞

【在野0day】某友CRM系统某接口存在任意文件下载（大量资产存在）

【漏洞复现】短视频矩阵营销系统 ajax_uplaod接口处存在任意文件上传

漏洞速递 | Microsoft微软最新RCE漏洞（附EXP）

通达OA down 未授权员工信息泄露漏洞

漏洞预警 | FFmpeg释放后使用漏洞

漏洞预警 | Telegram Windows客户端可执行文件限制不当漏洞

发表评论

在线咨询

微信