漏洞名称:
Apache Arrow PyArrow 任意代码执行漏洞(CVE-2023-47248)
组件名称:
PyArrow
影响范围:
0.14.0 ≤ PyArrow < 14.0.1
漏洞类型:
代码执行
利用条件:
1、用户认证:未知
2、前置条件:默认配置
3、触发方式:本地
综合评价:
<综合评定利用难度>:未知。
<综合评定威胁等级>:高危,能造成任意代码执行。
官方解决方案:
已发布
漏洞分析
组件介绍
PyArrow是一个用于在Python中处理大规模数据集的开源工具。它是Apache Arrow项目的Python库,旨在提供高效的数据交换和分析功能。
漏洞简介
2023年11月14日,深瞳漏洞实验室监测到一则PyArrow组件存在任意代码执行漏洞的信息,漏洞编号:CVE-2023-47248,漏洞威胁等级:高危。
该漏洞是由于PyArrow 组件0.14.0到14.0.0版本中的IPC和Parquet读取器中反序列化不受信任的数据导致的。攻击者可利用该漏洞,构造恶意数据执行任意代码执行攻击。
影响范围
目前受影响的PyArrow版本:
0.14.0 ≤ PyArrow < 14.0.1
解决方案
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://pypi.org/project/pyarrow/
升级方法:
pip install -U pyarrow
参考链接
https://lists.apache.org/thread/yhy7tdfjf9hrl9vfrtzo8p2cyjq87v7n
时间轴
2023/11/14
深瞳漏洞实验室监测到PyArrow官方发布安全版本。
2023/11/14
深瞳漏洞实验室发布漏洞通告。
点击阅读原文,
原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】Apache Arrow PyArrow 任意代码执行漏洞CVE-2023-47248
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论