CVE-2024-27322

Versões do R de 1.4.0 a 4.3.9

A linguagem de programação estatística R possui uma vulnerabilidade de desserialização que pode ocorrer quando dados não confiáveis são desserializados, permitindo que um arquivo formatado em RDS (R Data Serialization) ou pacote R criado de forma maliciosa execute código arbitrário no sistema de um usuário final ao ser acionado. Essa vulnerabilidade pode ser explorada por meio do uso de arquivos RDS ou pacotes R especialmente criados, expondo potencialmente os projetos a ataques à cadeia de suprimentos. O problema está relacionado ao uso de objetos promise e avaliação preguiçosa no R.

Para resolver o problema, atualize para a versão 4.4.0 ou posterior do R, pois a vulnerabilidade foi corrigida nesta versão. Para versões anteriores à 4.4.0, considere evitar o uso de arquivos RDS ou pacotes R não confiáveis e tenha cuidado ao carregar ou referenciar dados de fontes desconhecidas. Como solução temporária, considere restringir o acesso à função readRDS ou desativar o uso de arquivos RDS até que uma correção seja aplicada.