یک آسیبپذیری با شناسه CVE-2024-27322 و شدت بالا (8.8) در زبان برنامه نویسی R کشف و شناسایی شده است. این نقص یک deserializing untrusted data میباشد و یک مهاجم با بهرهبرداری از این نقص و با کمک یک فایل دستکاری شده RDS (R Data Serialization) یا یک package خاص، میتواند هر کدی را در سیستم کاربر که از این package استفاده میکند، اجرا کند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است و به شرایط خاصی نیاز نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی کم نیاز است (PR: N) و به تعامل کاربر نیاز دارند (UL:R)، بهرهبرداری از آسیبپذیریهای مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S: U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرند (C:H/I:H/A:H).
محصولات تحت تأثیر
این آسیبپذیری از نسخه 1.4.0 تا قبل از نسخه 4.4.0 این زبان برنامه نویسی را تحت تأثیر قرار میدهد.
توصیههای امنیتی
به کاربران توصیه میشود نسخه خود را اسرع وقت به 4.4.0 یا بالاتر ارتقا دهند.
منبع خبر:
- 49