一、基本情况
R语言是一种用于统计计算、数据可视化和机器学习的开源编程语言和软件环境。
二、 漏洞描述
R编程语言中存在一个反序列化漏洞(CVE-2024-27322),其CVSS评分为8.8,目前该漏洞的细节已公开。
R统计编程语言1.4.0 - 4.4.0之前存在反序列化漏洞,该漏洞涉及R中Promise对象和惰性求值的使用,威胁者可以创建恶意RDS(R数据序列化,.rds)、.rdx等格式的文件来利用该漏洞,导致在加载和引用时在受害者的设备上执行任意代码。该漏洞可能导致通过readRDS函数、R包进行的供应链攻击。
RDS是R语言特有的序列化文件格式,用于存储R对象(如向量、矩阵、数据框、列表、函数等)的二进制表示,RDS格式主要由.rds文件组成;R包中包含.rdx和.rdb文件,这些文件本身包含RDS格式的数据;当加载.rds或.rdx文件时,会使用readRDS函数。
三、 影响范围
1.4.0 <= R < 4.4.0
四、 修复建议
目前该漏洞已经修复,受影响用户可升级到R 4.4.0。
