Десериализация недоверенных данных в IPC и Parquet-читателях в версиях PyArrow с 0.14.0 по 14.0.0 позволяет выполнение произвольного кода. Приложение уязвимо, если оно читает данные Arrow IPC, Feather или Parquet из недоверенных источников (например, пользовательских файлов ввода).

Эта уязвимость затрагивает только PyArrow, а не другие реализации или привязки Apache Arrow.

Рекомендуется пользователям PyArrow обновиться до версии 14.0.1. Аналогично, рекомендуется библиотекам ниже обновить свои требования к зависимостям до PyArrow 14.0.1 или позже. Пакеты PyPI уже доступны, и мы надеемся, что пакеты conda-forge будут доступны в ближайшее время.

Если обновление невозможно, мы предоставляем отдельный пакет pyarrow-hotfix, который отключает уязвимость в старых версиях PyArrow. См. https://pypi.org/project/pyarrow-hotfix/ для инструкций.