CVE-2024-52338

Nome do software vulnerável e versões afetadas:

Pacote Apache Arrow R, versões 4.0.0 a 16.1.0

Descrição:

O problema está relacionado à desserialização de dados não confiáveis nos leitores IPC e Parquet, o que permite a execução de código arbitrário. Um aplicativo está vulnerável se ler dados do Arrow IPC, Feather ou Parquet de fontes não confiáveis, como arquivos de entrada fornecidos pelo usuário. Essa vulnerabilidade afeta apenas o pacote Apache Arrow R, e não outras implementações ou ligações do Apache Arrow, a menos que essas ligações sejam especificamente utilizadas por meio do pacote R.

Recomendações:

Para resolver o problema, os usuários do pacote Apache Arrow R devem atualizar para a versão 17.0.0 ou posterior. Da mesma forma, as bibliotecas derivadas devem atualizar seus requisitos de dependência para o Arrow 17.0.0 ou posterior. Se estiver usando uma versão afetada do pacote, dados não confiáveis podem ser lidos em uma tabela, e seu método interno to data frame() pode ser usado como uma solução alternativa, por exemplo, read parquet(..., as data frame = FALSE)$to data frame().