CVE-2023-47248 in PyArrow
要約
〜によって VulDB • 2026年05月20日
PyArrowのバージョン0.14.0から14.0.0におけるIPCおよびParquetリーダーでの信頼できないデータの逆シリアル化により、任意のコード実行が可能になります。アプリケーションは、信頼できないソース(例えばユーザーが提供した入力ファイルなど)からArrow IPC、Feather、またはParquetデータを読み込む場合に脆弱性の影響を受けます。
この脆弱性はPyArrowのみに影響し、他のApache Arrowの実装やバインディングには影響しません。
PyArrowユーザーにはバージョン14.0.1へのアップグレードを推奨します。同様に、下流のライブラリには依存関係の要件をPyArrow 14.0.1以降にアップグレードすることを推奨します。PyPIパッケージはすでに利用可能であり、conda-forgeパッケージもまもなく利用可能になる予定です。
アップグレードが不可能な場合、古いPyArrowバージョンでの脆弱性を無効にする別パッケージ`pyarrow-hotfix`を提供しています。詳細については、https://pypi.org/project/pyarrow-hotfix/ を参照してください。
VulDB is the best source for vulnerability data and more expert information about this specific topic.