R risolve vulnerabilità di esecuzione di codice arbitrario: aggiornare subito alla versione 4.4.0
by Nuke
Il linguaggio di programmazione R ha risolto una vulnerabilità di esecuzione di codice arbitrario che permetteva l'esecuzione di codice dannoso.
La falla, identificata con il codice CVE-2024-27322, consentiva di eseguire codice arbitrario caricando un file RDS (R Data Serialization) creato ad hoc o integrando un pacchetto R compromesso in un progetto.
La vulnerabilità è stata chiusa nella versione 4.4.0 di R Core, rilasciata all'inizio di questo mese, e si consiglia di aggiornare quanto prima.
Il problema risiedeva nel modo in cui R deserializza i dati. La funzione di deserializzazione integrata di R, che carica le informazioni dai file per decomprimere i dati nelle strutture in memoria, non è sicura e poteva essere sfruttata per eseguire codice arbitrario sul computer della vittima.
Sebbene possa essere complesso sfruttare questa falla, rappresentava un potenziale rischio per la sicurezza della catena di fornitura di R e degli utenti finali. Ora che è stata risolta, gli sviluppatori che usano R possono dormire sonni tranquilli
Source: hiddenlayer.com/research/r-bitrary-code-execution/ 02-05-2024 07:05 Upvotes: 0 Log in to upvote and add comments!
Comments:
No comments yet...