黄色网站入口国产美女,精品国产欧美另类一区,国产一区二区美女自慰,日日摸夜夜添无码国产

選擇你喜歡的標(biāo)簽
我們會(huì)為你匹配適合你的網(wǎng)址導(dǎo)航

    確認(rèn) 跳過

    跳過將刪除所有初始化信息

    您的位置:0XUCN > 資訊 > 安全
    新聞分類

    Apache Parquet Avro格式反序列漏洞

    安全 PRO 作者:曲果果哇 2025-05-29 01:19

    Apache Parquet Java 是一個(gè)開源的工具,用于優(yōu)化大規(guī)模數(shù)據(jù)處理。其中 parquet-avro 模塊用于轉(zhuǎn)換 parquet 格式與 avro 數(shù)據(jù)格式。

    在 parquet-avro 1.15.0 及之前的版本中,AvroConverters.java 中的 FieldStringableConverter 方法未對(duì)傳入的 stringableClass 對(duì)象進(jìn)行校驗(yàn)操作,導(dǎo)致在將 parquet 文件轉(zhuǎn)換為 avro 的過程中可實(shí)例化任意類并調(diào)用構(gòu)造方法,攻擊者可利用該特性傳入惡意 parquet 文件,執(zhí)行任意代碼。


    修復(fù)版本通過 checkSecurity 函數(shù)來實(shí)現(xiàn)白名單限制,對(duì)傳入的 stringableClass 對(duì)象進(jìn)行校驗(yàn),只允許受信任包下的 stringableClass 對(duì)象通過,限制反序列化的惡意類加載。

    漏洞名稱Apache Parquet Avro 格式反序列漏洞
    漏洞類型反序列化
    發(fā)現(xiàn)時(shí)間2025-04-01
    漏洞影響廣度-
    MPS 編號(hào)MPS-gj1h-x6aw
    CVE 編號(hào)CVE-2025-30065
    CNVD 編號(hào)-

    影響范圍

    org.apache.parquet:parquet-avro@(-∞, 1.15.1)

    修復(fù)方案

    將組件 org.apache.parquet:parquet-avro 升級(jí)至 1.15.1 及以上版本

    參考鏈接

    https://nvd.nist.gov/vuln/detail/CVE-2025-30065

    0XU.CN

    [超站]友情鏈接:

    四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
    關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級(jí)服務(wù)市場(chǎng):https://www.ijiandao.com/

    圖庫
    公眾號(hào) 關(guān)注網(wǎng)絡(luò)尖刀微信公眾號(hào)
    隨時(shí)掌握互聯(lián)網(wǎng)精彩
    贊助鏈接