在 Apache Parquet 的 Java 库中发现了一个严重的远程代码执行（RCE）漏洞，这可能会影响全球数千个数据分析系统。

该漏洞编号为 CVE-2025-30065，通用漏洞评分系统（CVSS）评分为最高的 10.0 分。攻击者可利用 parquet-avro 模块中的不安全反序列化来执行任意代码。

这个安全问题被归类为 “对不可信数据的反序列化”（CWE – 502），影响所有 1.15.0 及以下版本的 Apache Parquet Java 库。

Apache Parquet 远程代码执行漏洞

该漏洞自 1.8.0 版本引入，不过所有历史版本都应进行审查。此漏洞的核心在于 parquet-avro 模块的模式解析存在严重缺陷。

根据 Apache 的官方公告，“Apache Parquet 1.15.0 及之前版本的 parquet-avro 模块在模式解析时，会使恶意行为者能够执行任意代码”。

该漏洞的技术根源在于，在解析 Avro 模式时存在不安全的类加载问题，这使得攻击者在处理特制的 Parquet 文件时，能够注入并执行恶意代码。

利用此漏洞无需用户交互或身份验证。攻击者只需诱使目标通过其数据管道处理恶意的 Parquet 文件即可。

该漏洞由 Amazon 研究员 Keyi Li 发现并以负责任的方式披露。以下是该漏洞的概要信息：

风险因素
详情

受影响产品
Apache Parquet Java 库版本 ≤ 1.15.0（包括 parquet-avro 模块）

影响
远程代码执行（RCE）

利用前提
特制的 Parquet 文件；无需用户交互或身份验证

CVSS 3.1 评分
10.0（严重）

对大数据生态系统的广泛影响

该漏洞影响众多大数据环境，包括 Hadoop、Spark 和 Flink 的实现，以及 AWS、Google 和 Azure 云平台上的分析系统。

已知在其数据基础设施中使用 Parquet 的大型公司包括 Netflix、Uber、Airbnb 和 LinkedIn。

如果该漏洞被成功利用，攻击者可能会：

1.完全控制受影响的系统。

2.窃取或篡改敏感数据。

3.部署勒索软件或其他恶意负载。

4.破坏关键的数据服务和业务运营。

Endor Labs 在其安全公告中警告称：“该漏洞可能会影响导入 Parquet 文件的数据管道和分析系统，尤其是当这些文件来自外部或不可信来源时。”

系统安全的各个方面 —— 保密性、完整性和可用性 —— 都面临着很高的风险。

立即采取的补救措施

Apache Software Foundation 已发布 1.15.1 版本，修复了该漏洞。强烈建议各组织立即采取以下措施：

1.将所有 Apache Parquet Java 依赖项升级到 1.15.1 版本。

2.对于无法立即更新的系统，要对 Parquet 文件（尤其是来自外部来源的文件）实施严格的验证。

3.加强对处理 Parquet 文件的系统的监控和日志记录，以检测潜在的利用尝试。

4.审查数据处理工作流程，以识别潜在的暴露点。

截至 2025 年 4 月 4 日，尚无该漏洞在现实中被利用的确认报告。然而，安全专家警告称，鉴于该漏洞的严重性且现已公开，可能很快就会出现利用尝试。

研究人员表示：“尽管潜在危害令人担忧，但需要注意的是，只有在导入恶意的 Parquet 文件时，该漏洞才可能被利用。”

尽管如此，此漏洞的严重性要求所有在其数据基础设施中使用 Apache Parquet 的组织立即予以关注。

文章原文链接:https://www.anquanke.com/post/id/306235