کشف آسیب‌پذیری در زبان برنامه نویسی R

کشف آسیب‌پذیری در زبان برنامه نویسی R

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-27322 و شدت بالا (8.8)  در زبان برنامه نویسی R کشف و شناسایی شده است. این نقص یک deserializing untrusted data می‌باشد و یک مهاجم با بهره‌برداری از این نقص و با کمک یک فایل دستکاری شده RDS (R Data Serialization) یا یک package خاص، می‌تواند هر کدی را در سیستم کاربر که از این package استفاده می‌کند، اجرا کند.
بر اساس بردار حمله این آسیب‌پذیری‌  CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H بهره‌برداری از آن‌ از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است و  به شرایط خاصی  نیاز  نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی کم نیاز است (PR: N) و به تعامل کاربر نیاز دارند (UL:R)، بهره‌برداری از آسیب‌پذیری‌های مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S: U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار می‌گیرند (C:H/I:H/A:H).

محصولات تحت تأثیر
این آسیب‌پذیری‌ از نسخه 1.4.0 تا قبل از نسخه 4.4.0 این زبان برنامه نویسی را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
به کاربران توصیه می‌شود نسخه خود را اسرع وقت به 4.4.0 یا بالاتر ارتقا دهند.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2024-27322