Member-only story
CVE-2025–30065:Apache Parquet 漏洞为数据管道敲响警钟
Cyber-AppSec
阅读时间:3分钟·2025年4月5日
分享
又一天,又一个关键开源库中的严重漏洞——这次轮到 Apache Parquet,其影响十分严重。如果你的团队正在处理大数据或云原生分析,那么这个漏洞昨天就应该引起你的注意了。
(按回车或点击以查看完整尺寸图片)
发生了什么?
Apache Parquet 的 Java 库——广泛用于存储和处理大规模结构化数据——被发现存在一个远程代码执行(RCE)漏洞。该漏洞编号为 CVE-2025–30065,CVSS 评分为最高的 10.0。简而言之:如果你的系统正在处理来自不可信源的 Parquet 文件,那么它们可能在你不自知的情况下执行攻击者控制的代码。
问题的根源是什么?parquet-avro 模块对模式定义的解析不恰当。攻击者可以构造特制的 Parquet 文件,一旦该文件被导入,就能利用此漏洞执行任意代码。
为何影响重大
现实情况是——Parquet 无处不在。从 AWS S3 和 Azure Data Lake 中的数据湖,到运行在 Apache Spark 或 Flink 上的 ETL 管道,Parquet 是高效列式数据存储的首选格式。而现在,任何使用这些工具的人,只要存在以下情况,都可能面临风险:
- 从不可信或外部来源导入 Parquet 文件…… CSD0tFqvECLokhw9aBeRqrwTEtKAgZr3is/psY/zBV0s+VyJLJYbZplCbO0cd6atn9fX1PVRcgg1BYDMSjd3pa1sP/3y+s0rlEbFX9zM2H7cebilYT5dO73oNkcxkhDKOi5S1ctMbn0CYwjDdt84To8vqyFRmyZHUq8TJwNHDsg=
