漏洞类型	反序列化	发现时间	2023-11-09	漏洞等级	高危
MPS编号	MPS-eck2-x5ys	CVE编号	CVE-2023-47248	漏洞影响广度	一般

目录隐藏

2.1 OSCS 平台影响范围和处置方案

3 排查方式

漏洞危害

OSCS 描述

Apache Arrow是一个跨语言的开发平台，PyArrow是Apache Arrow的Python库，为Apache Arrow的C++实现提供了Python API。
由于Apache Arrow 的 PyArrow从不受信任的源读取Arrow IPC、Feather或Parquet数据，PyExtensionType创建了自动加载功能允许从非PyArrow的源反序列化数据。当使用PyExtensionType创建PyArrow特定的扩展类型时，攻击者可以构造恶意的Arrow IPC、Feather或Parquet数据，造成恶意代码执行。

参考链接：https://www.oscs1024.com/hd/MPS-eck2-x5ys

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
pyarrow [0.14.0, 14.0.1)	更新	将组件pyarrow到14.0.1或更高版本
参考链接：https://www.oscs1024.com/hd/MPS-eck2-x5ys

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-eck2-x5ys

https://www.openwall.com/lists/oss-security/2023/11/08/7

https://github.com/apache/arrow/commit/c73cb13b9f89493f9fb91da854f95aa38bd86cc7

https://github.com/apache/arrow/pull/38608

Apache Arrow PyArrow 任意代码执行 (CVE-2023-47248)

漏洞危害

影响范围及处置方案

OSCS 平台影响范围和处置方案

排查方式

相关推荐

Apache Airflow <2.8.0 越权漏洞 (CVE-2023-48291)

Atlassian Bitbucket 远程代码执行漏洞 (CVE-2023-22513)

Apache inlong JDBC URL反序列化漏洞(\t绕过) (CVE-2023-46227)

Rust < 1.77.2 Windows命令注入漏洞 (CVE-2024-24576)

Google Chrome Blink 内存越界访问漏洞 (CVE-2024-1669)