Lenguaje de programación R, versiones desde 1.4.0 hasta la anterior a 4.4.0.
Kasimir Schulz y Kieran Evans, investigadores de HiddenLayer, han reportado una vulnerabilidad de severidad alta en el lenguaje R que podría permitir ejecutar código arbitrario directamente tras la deserialización de datos no fiables, permitiendo a un atacante tomar el control del sistema afectado.
La investigación de HiddenPlayer ha detectado repositorios con ficheros fuente que potencialmente podrían contener código vulnerable incluidos en proyectos de R Studio, Facebook, Google, Microsoft, AWS y otros proveedores de software.
Actualizar R Core a la versión 4.4.0.
Cuando se compila un paquete en R, se crea un archivo .rdb que contiene representaciones serializadas de los objetos que se van a incluir. El archivo .rdb va acompañado de un archivo .rdx que contiene metadatos relativos a los blobs binarios ahora almacenados en el archivo .rdb.
Un atacante podría crear archivos .rds y .rdx maliciosos y utilizar técnicas de ingeniería social para distribuir esos archivos con el fin de ejecutar código arbitrario en el dispositivo de la potencial víctima. Asimismo, también se podría aprovechar los comandos del sistema para acceder a los recursos disponibles para la aplicación y exfiltrar datos en el dispositivo de destino.
Se ha asignado el identificador CVE-2024-27322 para esta vulnerabilidad.
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.