Uma vulnerabilidade de segurança foi descoberta na linguagem de programação R que poderia ser explorada por um agente de ameaça para criar um arquivo RDS (R Data Serialization) malicioso, resultando na execução de código quando carregado e referenciado.

O formato RDS, assim como o pickle em Python, é usado para serializar e salvar o estado de estruturas de dados ou objetos em R, uma linguagem de programação de código aberto usada em computação estatística, visualização de dados e aprendizado de máquina.

A causa raiz do CVE-2024-27322 reside no fato de que ele pode levar à execução arbitrária de código quando dados não confiáveis são desserializados, deixando os usuários expostos a ataques à cadeia de suprimentos por meio de pacotes R especialmente criados. Um atacante que busque explorar essa falha poderia tirar proveito do fato de que os pacotes R utilizam o formato RDS para salvar e carregar dados, causando a execução automática de código quando o pacote é descomprimido e desserializado.