Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-08044

Опубликовано: 09 нояб. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Высокий

Описание

Уязвимость библиотеки PyArrow связана с считыванием данных из недостоверных источников. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Apache Software Foundation

Наименование ПО

Pyarrow

Версия ПО

от 0.14.0 до 14.0.0 включительно (Pyarrow)

Тип ПО

Микропрограммный код

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://pypi.org/project/pyarrow-hotfix/
https://github.com/apache/arrow/commit/f14170976372436ec1d03a724d8d3f3925484ecf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.8564
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-47248

CVSS3: 9.8
nvd
около 2 лет назад

Deserialization of untrusted data in IPC and Parquet readers in PyArrow versions 0.14.0 to 14.0.0 allows arbitrary code execution. An application is vulnerable if it reads Arrow IPC, Feather or Parquet data from untrusted sources (for example user-supplied input files). This vulnerability only affects PyArrow, not other Apache Arrow implementations or bindings. It is recommended that users of PyArrow upgrade to 14.0.1. Similarly, it is recommended that downstream libraries upgrade their dependency requirements to PyArrow 14.0.1 or later. PyPI packages are already available, and we hope that conda-forge packages will be available soon. If it is not possible to upgrade, we provide a separate package `pyarrow-hotfix` that disables the vulnerability on older PyArrow versions. See https://pypi.org/project/pyarrow-hotfix/ for instructions.

debian логотип

CVE-2023-47248

CVSS3: 9.8
debian
около 2 лет назад

Deserialization of untrusted data in IPC and Parquet readers in PyArro ...

github логотип

GHSA-5wvp-7f3h-6wmm

CVSS3: 9.8
github
около 2 лет назад

PyArrow: Arbitrary code execution when loading a malicious data file

EPSS

Процентиль: 99%
0.8564
Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2