Apache Arrow R hasta 16.1.0 to_data_frame escalada de privilegios
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 7.5 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad fue encontrada en Apache Arrow R hasta 16.1.0 y clasificada como problemática. Se ve afectada una función desconocida. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. La vulnerabilidad es identificada como CVE-2024-52338. No hay ningún exploit disponible. El mejor modo sugerido para mitigar el problema es actualizar a la última versión.
Detalles
Una vulnerabilidad fue encontrada en Apache Arrow R hasta 16.1.0 y clasificada como problemática. La función to_data_frame es afectada por esta vulnerabilidad. Por la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. El resumen de CVE es:
La deserialización de datos no confiables en lectores IPC y Parquet en las versiones 4.0.0 a 16.1.0 del paquete Apache Arrow R permite la ejecución de código arbitrario. Una aplicación es vulnerable si lee datos IPC, Feather o Parquet de Arrow de fuentes no confiables (por ejemplo, archivos de entrada proporcionados por el usuario). Esta vulnerabilidad solo afecta al paquete R arrow, no a otras implementaciones o enlaces de Apache Arrow a menos que esos enlaces se utilicen específicamente a través del paquete R (por ejemplo, una aplicación R que incorpora un intérprete de Python y utiliza PyArrow para leer archivos de fuentes no confiables sigue siendo vulnerable si el paquete R arrow es una versión afectada). Se recomienda que los usuarios del paquete R arrow actualicen a la versión 17.0.0 o posterior. De manera similar, se recomienda que las bibliotecas posteriores actualicen sus requisitos de dependencia a arrow 17.0.0 o posterior. Si se utiliza una versión afectada del paquete, se pueden leer datos no confiables en una tabla y se puede utilizar su método interno to_data_frame() como solución alternativa (por ejemplo, read_parquet(..., as_data_frame = FALSE)$to_data_frame()). Este problema afecta al paquete Apache Arrow R: desde la versión 4.0.0 hasta la 16.1.0. Se recomienda a los usuarios que actualicen a la versión 17.0.0, que soluciona el problema.El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2024-52338. Detalles técnicos son conocidos, pero no hay ningún exploit público disponible.
Una actualización a la versión 17.0.0 elimina esta vulnerabilidad. Aplicando el parche 801de2fbcf5bcbce0c019ed4b35ff3fc863b141b es posible eliminar el problema. El parche puede ser descargado de github.com. El mejor modo sugerido para mitigar el problema es Actualización.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Producto
Proveedor
Nombre
Versión
Licencia
Sitio web
- Proveedor: https://www.apache.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 7.6VulDB Puntuación meta temporal: 7.6
VulDB Puntuación base: 5.5
VulDB Puntuación temporal: 5.3
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
CNA Puntuación base: 9.8
CNA Vector (apache): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Escalada de privilegiosCWE: CWE-502 / CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔍
Actualización: Arrow R 17.0.0
Parche: 801de2fbcf5bcbce0c019ed4b35ff3fc863b141b
Línea de tiempo
2024-11-08 🔍2024-11-28 🔍
2024-11-28 🔍
2024-11-30 🔍
Fuentes
Proveedor: apache.orgAviso: 801de2fbcf5bcbce0c019ed4b35ff3fc863b141b
Estado: Confirmado
CVE: CVE-2024-52338 (🔍)
GCVE (CVE): GCVE-0-2024-52338
GCVE (VulDB): GCVE-100-286379
Artículo
Fecha de creación: 2024-11-28 17:48Actualizado: 2024-11-30 03:14
Cambios: 2024-11-28 17:48 (57), 2024-11-30 03:14 (12)
Completo: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.