CVE-2023-47248 in PyArrow情報

要約

〜によって VulDB • 2026年05月20日

PyArrowのバージョン0.14.0から14.0.0におけるIPCおよびParquetリーダーでの信頼できないデータの逆シリアル化により、任意のコード実行が可能になります。アプリケーションは、信頼できないソース(例えばユーザーが提供した入力ファイルなど)からArrow IPC、Feather、またはParquetデータを読み込む場合に脆弱性の影響を受けます。

この脆弱性はPyArrowのみに影響し、他のApache Arrowの実装やバインディングには影響しません。

PyArrowユーザーにはバージョン14.0.1へのアップグレードを推奨します。同様に、下流のライブラリには依存関係の要件をPyArrow 14.0.1以降にアップグレードすることを推奨します。PyPIパッケージはすでに利用可能であり、conda-forgeパッケージもまもなく利用可能になる予定です。

アップグレードが不可能な場合、古いPyArrowバージョンでの脆弱性を無効にする別パッケージ`pyarrow-hotfix`を提供しています。詳細については、https://pypi.org/project/pyarrow-hotfix/ を参照してください。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

予約する

2023年11月04日

モデレーション

承諾済み

エントリ

VDB-244869

EPSS

0.14414

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!