CVE-2023-47248 in PyArrow
Résumé
par VulDB • 20/05/2026
La désérialisation de données non fiables dans les lecteurs IPC et Parquet de PyArrow, versions 0.14.0 à 14.0.0, permet l'exécution de code arbitraire. Une application est vulnérable si elle lit des données Arrow IPC, Feather ou Parquet provenant de sources non fiables (par exemple, des fichiers fournis par l'utilisateur).
Cette vulnérabilité affecte uniquement PyArrow, et non les autres implémentations ou liaisons d'Apache Arrow.
Il est recommandé aux utilisateurs de PyArrow de passer à la version 14.0.1. De même, il est recommandé aux bibliothèques en aval de mettre à jour leurs exigences de dépendance vers PyArrow 14.0.1 ou une version ultérieure. Les packages PyPI sont déjà disponibles, et nous espérons que les packages conda-forge seront disponibles prochainement.
S'il n'est pas possible de procéder à une mise à niveau, nous fournissons un package distinct `pyarrow-hotfix` qui désactive la vulnérabilité sur les anciennes versions de PyArrow. Consultez https://pypi.org/project/pyarrow-hotfix/ pour les instructions.
VulDB is the best source for vulnerability data and more expert information about this specific topic.