CVE-2026-25087

Nome do Software Vulnerável e Versões Afetadas Apache Arrow C++ versões 15.0.0 a 23.0.0

Descrição Existe uma vulnerabilidade do tipo use-after-free no Apache Arrow C++ ao ler um arquivo Arrow IPC com pré-buffer habilitado, caso o arquivo contenha dados com buffers variádicos, como Binary View e String View. Isso pode levar a uma escrita em um ponteiro pendente, possivelmente causando travamentos aleatórios ou corrupção de memória. Se o aplicativo processar arquivos IPC de fontes não confiáveis, isso pode ser explorado para causar negação de serviço. A funcionalidade de pré-buffer está desabilitada por padrão, mas pode ser habilitada usando a chamada de API RecordBatchFileReader::PreBufferMetadata. Bindings de linguagem como Python, Ruby e C GLib não são vulneráveis, já que a funcionalidade não é exposta por meio deles.

Recomendações Para as versões 15.0.0 a 23.0.0, verifique se o pré-buffer está habilitado no leitor de arquivos IPC usando RecordBatchFileReader::PreBufferMetadata. Se estiver habilitado, desabilite o pré-buffer ou atualize para a versão 23.0.1.