开源编程语言 R 曝光存在 8.8 分代码执行漏洞 CVE-2024-27322，可引发供应链攻击

图片地址：https://img.ithome.com/newsuploadfiles/2024/5/add49a5d-a98d-4afa-b3e3-4858b855d729.png?x-bce-process=image/watermark,image_aW1nL3dhdGVybWFyay9xYy9xYzYyLnBuZw==,t_100,g_3,y_22,x_22,a_0/format,f_auto

IT之家 5 月 4 日消息，安全公司 HiddenLayer 近日发现开源编程语言 R 存在一项允许黑客执行恶意代码的重大漏洞 CVE-2024-27322。该漏洞风险评级为 8.8 分，允许恶意文件在反序列化时执行任意代码。如果相关代码牵涉到软件包，则可能引发供应链攻击。IT之家注：序列化是将对象转化为可传输的字节序列过程，而反序列化便是将字节序列重新转换为对象的过程，序列化和反序列化通常发生在数据存储和网络传输过程中，例如从软件包库下载软件包便涉及反序列化。据悉，R 语言使用 RDS 文件格式进行序列化数据的存储或传输，其中 RDS 格式包括 .rdb 文件和.rdx 文件。R 程序运行过程中使用 readRDS 函数从软件包库中读取这两种文件，然后使用 eva1 函数判断文件中表达式（expression）的值，以便反序列化 RDS 文件中的对象。研究人员指出，CVE-2024-27322 涉及到 R 程序的序列化 /