广泛使用的 Apache Parquet 中发现最高危 RCE 漏洞

BleepingComputer.com logo

Bill Toulas

Apache

一个最高危级别的远程代码执行 (RCE) 漏洞被发现,它影响了所有直到且包含 1.15.0 版本的 Apache Parquet

该问题源于对不受信任数据的反序列化,这可能允许攻击者利用精心制作的 Parquet 文件来控制目标系统、窃取或修改数据、中断服务,或引入危险的 payload,例如勒索软件。

该漏洞被追踪为 CVE-2025-30065,其 CVSS v4 评分为 10.0。该漏洞已在 Apache 1.15.1 版本中修复。

需要注意的是,要利用此漏洞,威胁行为者必须说服某人导入一个精心制作的 Parquet 文件。

对“大数据”环境的严重威胁

Apache Parquet 是一种开源的列式存储格式,专为高效数据处理而设计。与基于行的格式(如 CSV)不同,Parquet 按列存储数据,这使其在分析工作负载中更快、更节省空间。

它被广泛应用于数据工程和分析生态系统,包括 HadoopAWSAmazonGoogleAzure 云服务、数据湖和 ETL 工具等大数据平台。

一些使用 Parquet 的大型公司包括 NetflixUberAirbnbLinkedIn

Parquet 中的安全问题于 2025 年 4 月 1 日被披露,此前 Amazon 研究员 Keyi Li 负责任地披露了该问题。

Apache Parquet 1.15.0 及之前版本的 parquet-avro 模块中的模式解析允许不良行为者执行任意代码,”Openwall 上发布的简短公告警告说。

“建议用户升级到 1.15.1 版本,该版本修复了此问题。”

Endor Labs 的一份单独公告更清楚地强调了 CVE-2025-30065 利用的风险,警告说该漏洞可能会影响导入 Parquet 文件的任何数据管道和分析系统,对于来自外部来源的文件,风险非常显著。

Endor Labs 认为该问题是在 Parquet 1.8.0 版本中引入的,尽管较旧的版本也可能受到影响。该公司建议与开发人员和供应商进行协调检查,以确定生产软件堆栈中使用了哪些 Praquet 版本。

"Endor Labs 警告说,如果攻击者诱骗易受攻击的系统读取一个专门制作的 Parquet 文件,他们可能会在该系统上获得远程代码执行 (RCE) 。"

然而,该安全公司通过包含以下说明来避免过度夸大风险:“尽管存在可怕的潜力,但重要的是要注意,只有在导入恶意 Parquet 文件时才能利用该漏洞。”

话虽如此,如果无法立即升级到 Apache Parquet 1.15.1,建议避免使用不受信任的 Parquet 文件,或者在处理之前仔细验证其安全性。此外,应增加对处理 Parquet 的系统的监控和日志记录。

尽管尚未发现任何活跃的利用,但由于该漏洞的严重性以及 Parquet 文件在大数据应用中的广泛使用,风险仍然很高。

建议受影响系统的管理员尽快升级到 Parquet 1.15.1 版本,该版本解决了 CVE-2025-30065。

Red Report 2025

93% 攻击背后的十大 MITRE ATT&CK© 技术

基于对 1400 万次恶意行为的分析,了解 93% 的攻击背后的十大 MITRE ATT&CK 技术以及如何防御它们。

阅读 Red Report 2025

相关文章:

Apache Tomcat 中 критический RCE активно эксплуатируется в атаках

WordPress 插件 WP Ghost уязвим для удаленного выполнения кода

Critical PHP RCE vulnerability mass exploited in new attacks

Ivanti fixes three critical flaws in Connect Secure & Policy Secure

Over 12,000 KerioControl firewalls exposed to exploited RCE flaw