Apache Arrow PyArrow 任意代码执行漏洞
漏洞名称
: Apache Arrow PyArrow 任意代码执行漏洞 CVE-2023-47248
漏洞描述
:2023 年 11 月 14 日,深瞳漏洞实验室监测到一则 PyArrow 组件存
在任意代码执行漏洞的信息,该漏洞是由于 PyArrow 组件 0.14.0 到 14.0.0 版
本中的 IPC 和 Parquet 读取器中反序列化不受信任的数据导致的。
攻击者可利
用该漏洞,构造恶意数据执行任意代码执行攻击
。
漏洞编号:CVE-2023-47248,漏洞威胁等级:
高危
。
组件介绍:
PyArrow 是一个用于在 Python 中处理大规模数据集的开源工具。它是
Apache Arrow 项目的 Python 库,旨在提供高效的数据交换和分析功能。
影响范围:
目前受影响的 PyArrow 版本:
0.14.0 ≤ PyArrow < 14.0.1
利用条件:
1、用户认证:未知
2、前置条件:默认配置
3、触发方式:本地
<综合评定利用难度>:未知。
<综合评定威胁等级>:高危,能造成任意代码执行。
1
官方解决方案
:
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。
链接如下:
https://pypi.org/project/pyarrow/
