Apache Parquet Java 是一個(gè)開源的工具，用于優(yōu)化大規(guī)模數(shù)據(jù)處理。其中 parquet-avro 模塊用于轉(zhuǎn)換 parquet 格式與 avro 數(shù)據(jù)格式。

在 parquet-avro 1.15.0 及之前的版本中，AvroConverters.java 中的 FieldStringableConverter 方法未對(duì)傳入的 stringableClass 對(duì)象進(jìn)行校驗(yàn)操作，導(dǎo)致在將 parquet 文件轉(zhuǎn)換為 avro 的過程中可實(shí)例化任意類并調(diào)用構(gòu)造方法，攻擊者可利用該特性傳入惡意 parquet 文件，執(zhí)行任意代碼。

修復(fù)版本通過 checkSecurity 函數(shù)來實(shí)現(xiàn)白名單限制，對(duì)傳入的 stringableClass 對(duì)象進(jìn)行校驗(yàn)，只允許受信任包下的 stringableClass 對(duì)象通過，限制反序列化的惡意類加載。

影響范圍

org.apache.parquet:parquet-avro@(-∞, 1.15.1)

修復(fù)方案

將組件 org.apache.parquet:parquet-avro 升級(jí)至 1.15.1 及以上版本

參考鏈接

https://nvd.nist.gov/vuln/detail/CVE-2025-30065

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/