漏洞背景

近日，嘉诚安全监测到Apache Arrow发布安全公告，修复了一处任意代码执行漏洞，漏洞编号为：CNNVD-202311-735(CVE-2023-47248)。

Apache Arrow是一个跨语言的开发平台，PyArrow是Apache Arrow的Python库，为Apache Arrow的C++实现提供了Python API。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏为高危漏洞。由于Apache Arrow的PyArrow从不受信任的源读取Arrow IPC、Feather或Parquet数据，PyExtensionType创建了自动加载功能允许从非PyArrow的源反序列化数据。当使用PyExtensionType创建PyArrow特定的扩展类型时，攻击者可以构造恶意的Arrow IPC、Feather或Parquet数据，造成恶意代码执行。

危害影响

影响版本

0.14.0<=PyArrow<14.0.1

修复建议

根据影响版本中的信息，建议相关用户尽快更新至安全版本：

Apache Arrow pyarrow >= 14.0.1

更新命令：pip install -U pyarrow