CVE-2023-47248 in PyArrowinformation

Résumé

par VulDB • 20/05/2026

La désérialisation de données non fiables dans les lecteurs IPC et Parquet de PyArrow, versions 0.14.0 à 14.0.0, permet l'exécution de code arbitraire. Une application est vulnérable si elle lit des données Arrow IPC, Feather ou Parquet provenant de sources non fiables (par exemple, des fichiers fournis par l'utilisateur).

Cette vulnérabilité affecte uniquement PyArrow, et non les autres implémentations ou liaisons d'Apache Arrow.

Il est recommandé aux utilisateurs de PyArrow de passer à la version 14.0.1. De même, il est recommandé aux bibliothèques en aval de mettre à jour leurs exigences de dépendance vers PyArrow 14.0.1 ou une version ultérieure. Les packages PyPI sont déjà disponibles, et nous espérons que les packages conda-forge seront disponibles prochainement.

S'il n'est pas possible de procéder à une mise à niveau, nous fournissons un package distinct `pyarrow-hotfix` qui désactive la vulnérabilité sur les anciennes versions de PyArrow. Consultez https://pypi.org/project/pyarrow-hotfix/ pour les instructions.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Réserver

04/11/2023

Divulgation

09/11/2023

Modérer

accepté

Entrée

VDB-244869

CPE

prêt

EPSS

0.14414

KEV

non

Activités

très faible

Sources

Might our Artificial Intelligence support you?

Check our Alexa App!