核心内容摘要
镜像宣城:视频孪生时代的终点,镜像孪生时代的起点——空间计算引擎驱动城市治理范式的代际跃迁
Apache Parquet Java组件中新发现一个严重安全漏洞编号CVE-
攻击者可通过特制的Parquet文件实现任意代码执行。
该漏洞影响
1.
1
1及之前所有版本。
Apache Parquet是一种面向大数据生态的列式存储文件格式广泛应用于Apache Hadoop、Spark和Flink等处理框架这使得该漏洞可能对数据分析基础设施造成广泛影响。
Parquet-Avro模块漏洞分析该安全缺陷存在于parquet-avro模块中该模块负责处理Parquet文件元数据中的AvroApache Avro模式。
虽然Apache Parquet
1.
1
1版本在2025年3月已针对不受信任包添加了限制措施但安全研究人员发现其信任包的默认设置仍过于宽松导致恶意类仍可能被执行。
Apache软件基金会的安全公告指出Apache Parquet
1.
1
0及更早版本的parquet-avro模块在模式解析过程中可能被攻击者利用来执行任意代码。
该漏洞特别针对使用specific或reflect模式读取Parquet文件的应用而generic模式不受影响。
漏洞影响与风险因素风险要素详细说明受影响产品Apache Parquet Java
1.
1
1及更早版本特别是parquet-avro模块危害程度任意代码执行利用前提- 使用Apache Parquet Java ≤
1.
1
1- 启用了parquet-avro模块- 采用specific或reflect模式读取Parquet文件- 攻击者需提供包含恶意Avro模式的Parquet文件CVSS
1评分高危
8该漏洞源于Avro模式在反序列化过程中的处理缺陷攻击者可注入在模式解析阶段执行的恶意代码。
值得注意的是这与2025年4月发现的另一个反序列化漏洞CVE-
存在相似性后者同样影响parquet-avro模块。
修复方案与缓解措施Apache Parquet团队已于2025年5月1日发布
1.
1
2版本彻底修复该漏洞。
建议受影响用户采取以下措施升级方案升级至Apache Parquet Java
1.
1
2该版本包含完整的漏洞修复临时缓解对于无法立即升级但使用
1.
1
1版本的用户可将系统属性org.apache.parquet.avro.SERIALIZABLE_PACKAGES设置为空字符串两种方案均可通过阻止信任包中恶意代码的执行来有效缓解漏洞风险。
建议所有在数据管道中使用Apache Parquet的组织立即进行系统审计并应用推荐的修复措施。
注该漏洞由安全研究人员Andrew Pikler、David Handermann和Nándor Kollár在序列化漏洞研究中发现并负贵披露。