专家警告称,Apache Parquet 的 Java 库存在一个严重漏洞,可能导致远程代码执行。
Apache Parquet 的 Java 库是一个用于在 Java 编程语言中读写 Parquet 文件的软件库。Parquet 是一种列式存储文件格式,经过优化,可与 Apache Hadoop、Apache Spark 和 Apache Drill 等大规模数据处理框架配合使用。
专家披露了一个被追踪为 CVE-2025-30065(通用漏洞评分系统(CVSS)评分为 10.0)的严重漏洞,该漏洞影响 Apache Parquet 的 Java 库,可能导致远程代码执行。
安全公告中写道:“Apache Parquet 1.15.0 及更早版本的 parquet-avro 模块中的模式解析功能,会让恶意行为者得以执行任意代码。”
CVE-2025-30065 漏洞属于不可信数据反序列化问题。该缺陷会影响导入 Parquet 文件的系统,尤其是从不可信来源导入文件的系统,攻击者可以通过篡改文件来利用这个漏洞。1.15.0 及更早版本都存在此漏洞,该缺陷最早可追溯到 1.8.0 版本。这会影响大数据框架(如 Hadoop、Spark、Flink)以及使用 Parquet 的定制应用程序。用户应检查自己的软件栈是否存在此问题。
Endor Labs 发布的一份报告称:“如果攻击者诱使存在漏洞的系统读取特制的 Parquet 文件,他们就可以在该系统上实现远程代码执行(RCE)。在实际情况中,这可能使他们能够:
1.控制系统:他们可以运行任何命令或软件,从而有效地掌控系统。
2.窃取或篡改数据:敏感信息可能会被访问、复制或修改。
3.安装恶意软件:攻击者可能会部署勒索软件、加密货币挖矿程序或其他恶意软件。
4.破坏服务:他们可以关闭服务或损坏数据,导致服务拒绝和业务中断。”
“受影响系统的所有保密性、完整性和可用性都面临风险(用 CVSS 术语来说,对这三个方面都有‘高度’影响)。尽管潜在危害巨大,但需要注意的是,只有在导入恶意 Parquet 文件时,该漏洞才会被利用。”
据 Endor Labs 称,截至 2025 年 4 月,尚未发现针对此漏洞的主动利用情况。然而,随着该问题的公开,威胁行为者可能会尝试利用它。研究人员敦促用户立即解决此问题。
为保护系统免受 CVE-2025-30065 漏洞的威胁,应将 Apache Parquet Java 升级到 1.15.1 或更高版本。如果无法升级,应避免从不可信来源获取 Parquet 文件,或对其进行验证,并实施输入验证。启用监控和日志记录功能以检测可疑行为,并随时关注 Apache 或网络安全机构发布的更新。采取这些措施将降低风险并保护系统安全。
发表评论
您还未登录,请先登录。
登录