
Apache Parquet Avro格式反序列漏洞
Apache Parquet Java 是一個(gè)開源的工具,用于優(yōu)化大規(guī)模數(shù)據(jù)處理。其中 parquet-avro 模塊用于轉(zhuǎn)換 parquet 格式與 avro 數(shù)據(jù)格式。
在 parquet-avro 1.15.0 及之前的版本中,AvroConverters.java 中的 FieldStringableConverter 方法未對(duì)傳入的 stringableClass 對(duì)象進(jìn)行校驗(yàn)操作,導(dǎo)致在將 parquet 文件轉(zhuǎn)換為 avro 的過程中可實(shí)例化任意類并調(diào)用構(gòu)造方法,攻擊者可利用該特性傳入惡意 parquet 文件,執(zhí)行任意代碼。
修復(fù)版本通過 checkSecurity 函數(shù)來實(shí)現(xiàn)白名單限制,對(duì)傳入的 stringableClass 對(duì)象進(jìn)行校驗(yàn),只允許受信任包下的 stringableClass 對(duì)象通過,限制反序列化的惡意類加載。
漏洞名稱 | Apache Parquet Avro 格式反序列漏洞 |
---|---|
漏洞類型 | 反序列化 |
發(fā)現(xiàn)時(shí)間 | 2025-04-01 |
漏洞影響廣度 | - |
MPS 編號(hào) | MPS-gj1h-x6aw |
CVE 編號(hào) | CVE-2025-30065 |
CNVD 編號(hào) | - |
影響范圍
org.apache.parquet:parquet-avro@(-∞, 1.15.1)
修復(fù)方案
將組件 org.apache.parquet:parquet-avro 升級(jí)至 1.15.1 及以上版本
參考鏈接
https://nvd.nist.gov/vuln/detail/CVE-2025-30065
[超站]友情鏈接:
四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級(jí)服務(wù)市場(chǎng):https://www.ijiandao.com/

隨時(shí)掌握互聯(lián)網(wǎng)精彩
- 1 看總書記關(guān)心的清潔能源這樣發(fā)電 7904784
- 2 今年最強(qiáng)臺(tái)風(fēng)來襲 7808370
- 3 澳加英宣布承認(rèn)巴勒斯坦國 7713882
- 4 長春航空展這些“首次”不要錯(cuò)過 7619430
- 5 43歲二胎媽媽患阿爾茨海默病 7522500
- 6 iPhone 17橙色斜挎掛繩賣斷貨 7424549
- 7 女兒發(fā)現(xiàn)父親500多萬遺產(chǎn)用于保健 7328355
- 8 英國航母從南?!傲锪恕?/a> 7233958
- 9 三所“零近視”小學(xué)帶來的啟示 7143448
- 10 中國消失的森林正“全盤復(fù)活” 7045857