【漏洞预警】Apache Arrow PyArrow 任意代码执行（CVE-2023-47248）

漏洞描述

Apache Arrow是一个跨语言的开发平台，PyArrow是Apache Arrow的Python库，为Apache Arrow的C++实现提供了Python API。

由于Apache Arrow 的 PyArrow从不受信任的源读取Arrow IPC、Feather或Parquet数据，PyExtensionType创建了自动加载功能允许从非PyArrow的源反序列化数据。当使用PyExtensionType创建PyArrow特定的扩展类型时，攻击者可以构造恶意的Arrow IPC、Feather或Parquet数据，造成恶意代码执行。

漏洞威胁等级:

高危（CVSS 评分：8.9）

影响版本

0.14.0<=PyArrow<=14.0.0

修复建议

官方已修复该漏洞，建议用户更新到安全版本

安全版本
Apache Arrow pyarrow > 14.0.0

更新命令

pip install -U pyarrow

参考链接：https://github.com/apache/arrow/commit/f14170976372436ec1d03a724d8d3f3925484ecf 

原文始发于微信公众号（攻防之道）：【漏洞预警】Apache Arrow PyArrow 任意代码执行（CVE-2023-47248）