Il CSIRT Italia ha pubblicato un avviso riguardante una vulnerabilità critica rilevata nel linguaggio di programmazione statistica “R”. Tale vulnerabilità, qualora sfruttata, potrebbe consentire l’esecuzione di codice arbitrario sui sistemi target tramite l’apertura d”R”. Questa vulnerabilità, identificata come CVE-2024-27322, se sfruttata, potrebbe permettere a un attaccante di eseguire codice arbitrario sui sistemi target tramite l’apertura di file con estensione “.rds” o “.rdx” opportunamente predisposti.
Il rischio associato a questa vulnerabilità è stato valutato come ALTO/ARANCIONE, con una stima d’impatto del 65,12/100 sulla comunità di riferimento. La tipologia di minaccia è l’Arbitrary Code Execution.
Sono interessate le versioni precedenti alla 4.4.0 del linguaggio R. Per mitigare il rischio, il CSIRT Italia raccomanda vivamente di aggiornare il software alla versione più recente disponibile.
