CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2024-27322
https://notcve.org/view.php?id=CVE-2024-27322
Deserialization of untrusted data can occur in the R statistical programming language, on any version starting at 1.4.0 up to and not including 4.4.0, enabling a maliciously crafted RDS (R Data Serialization) formatted file or R package to run arbitrary code on an end user’s system when interacted with. La deserialización de datos que no son de confianza puede ocurrir en el lenguaje de programación estadística R, en cualquier versión desde 1.4.0 hasta 4.4.0 incluida, lo que permite que un archivo con formato RDS (R Data Serialization) creado con fines malintencionados o un paquete R ejecute código arbitrario en el sistema de un usuario final cuando se interactúa con él. • http://www.openwall.com/lists/oss-security/2024/04/29/3 https://hiddenlayer.com/research/r-bitrary-code-execution https://https://kb.cert.org/vuls/id/238194 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7ZLV4OWXZIJ7EFBIWUZADUSHYJTFAQ4D https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JVE5FDLFJGTAMOSJ6DREFAODEUBRFWSG https://www.kb.cert.org/vuls/id/238194 • CWE-502: Deserialization of Untrusted Data •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 1CVE-2020-27637
https://notcve.org/view.php?id=CVE-2020-27637
The R programming language’s default package manager CRAN is affected by a path traversal vulnerability that can lead to server compromise. This vulnerability affects packages installed via the R CMD install cli command or the install.packages() function from the interpreter. Update to version 4.0.3 El gestor de paquetes predeterminados CRAN del lenguaje de programación R, está afectado por una vulnerabilidad de salto de ruta que puede conllevar a comprometer el servidor. Esta vulnerabilidad afecta a los paquetes instalados por medio del comando R CMD install cli o la función install.packages() del intérprete. Actualizar a versión 4.0.3 • https://labs.bishopfox.com/advisories/cran-version-4.0.2 https://security.gentoo.org/glsa/202401-07 https://www.r-project.org/foundation • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 1CVE-2016-8714
https://notcve.org/view.php?id=CVE-2016-8714
An exploitable buffer overflow vulnerability exists in the LoadEncoding functionality of the R programming language version 3.3.0. A specially crafted R script can cause a buffer overflow resulting in a memory corruption. An attacker can send a malicious R script to trigger this vulnerability. Existe una vulnerabilidad de desbordamiento de búfer explotable en la funcionalidad LoadEncoding del lenguaje de programación R versión 3.3.0. Una secuencia de comandos R especialmente manipulada puede provocar un desbordamiento de búfer resultando en una corrupción de memoria. • http://www.debian.org/security/2017/dsa-3813 http://www.securityfocus.com/bid/96785 http://www.talosintelligence.com/reports/TALOS-2016-0227 • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') •