CVE-2026-41486

Nome do Software Vulnerável e Versões Afetadas Ray versões 2.49.0 a 2.54.0

Descrição O Ray Data registra tipos de extensão Arrow personalizados (ray.data.arrow tensor, ray.data.arrow tensor v2 e ray.data.arrow variable shaped tensor) globalmente no PyArrow. Quando o PyArrow lê um arquivo Parquet contendo esses tipos de extensão, ele invoca a função arrow ext deserialize nos bytes de metadados do campo. A implementação passa esses bytes diretamente para cloudpickle.loads(), o que permite a execução de código arbitrário durante a análise do esquema, antes que qualquer dado de linha seja processado. Isso afeta qualquer processo que utilize Ray Data para ler arquivos Parquet, incluindo aqueles que usam ray.data.read parquet(), pyarrow.parquet.read table() ou pandas.read parquet(). Um invasor pode explorar isso fornecendo um arquivo Parquet manipulado contendo uma coluna com um dos nomes de tipo de extensão afetados.

Recomendações Atualize o Ray para a versão 2.55.0.