CVE-2024-27322の脆弱性でRのデシリアライズに安全性の問題、最新版への更新をRプログラミング言語の安全でないデシリアライゼーションに関する記事の要約 Rプログラミング言語の実装に安全でないデータのデシリアライゼーションの脆弱性 悪意のあるコードを含むPromiseクラスオブジェクトをシリアライズし任意のコード実行の可能性 R 4.4.0でシリアライズされたデータ内のPromiseオブジェクトの使用を制限し修正 信頼できないデータのデシリアライズを避けるなどの対策が必要 PromiseクラスオブジェクトのRDSシリアライズにおける任意コード実行の脆弱性Rプログラミング言語の実装において、R 1.4.0から4.4.0より前のバージョンではPromiseクラスのオブジェクトがRDS形式でシリアライズされた際、そのオブジェクト内の値が未評価の状態で参照されると式が適切な遅延評価のタイミングより前に実行されてしまう問題が存在する。攻撃者はこの脆弱性を悪用し、悪意のあるコード
