開発言語「R」のデシリアライズ処理に脆弱性 - 修正版へ更新を

開発言語「R」において実装の不備があり、細工されたファイルを読み込むと任意のコードを実行される脆弱性が明らかとなった。セキュリティ機関より注意が呼びかけられている。

RDS形式でシリアライズされたデータのデシリアライズ処理に脆弱性「CVE-2024-27322」が明らかとなったもの。

細工されたファイルを読み込むと、意図とは異なるタイミングでオブジェクト内の式が評価され、任意のコードを実行されるおそれがある。

共通脆弱性評価システム「CVSSv3.1」において、同脆弱性のベーススコアは「8.8」、重要度は「高（High）」とレーティングされている。

同脆弱性は「同4.4.0」にて修正されており、セキュリティ機関などがアップデートを呼びかけている。

（Security NEXT - 2024/05/02 ） ツイート

PR

関連記事

廃棄カルテが一般ゴミに紛れる、搬送中に飛散 - 薩摩川内市
職業性曝露事故の関係者情報含むUSBメモリが所在不明 - 秋田大病院
メルアカ乗っ取り被害、スパム送信の踏み台に - MaOI機構
RSSフィードが改ざん、外部サイトのリンク混入 - リョーサン菱洋HD
ZohoのExchange監視ツールに深刻な脆弱性 - アップデートを
「Erlang/OTP」「RoundCube」の既知脆弱性が標的に - 米当局が注意喚起
情報セキュリティ教室の参加者一覧が閲覧可能に - NII
採用職員の健診関連情報含む名簿を誤送信 - 奈良県
クレカ不正利用、前四半期比2割増 - 200億円迫る勢い
QNAP、アドバイザリ9件を公開 - 複数脆弱性を修正