Apache Parquet 存在严重漏洞，可导致远程代码执行

Apache Parquet Java 库中的一个严重漏洞可能被利用来彻底破坏任何读取 Parquet 文件的系统或应用程序。

Apache Parquet 是一种开源的列式数据文件格式，可实现高效的数据存储和检索，并支持批量处理复杂数据。多种分析工具和编程语言都使用它。

该严重漏洞的编号为CVE-2025-30065，最高严重等级为 10/10，被描述为影响库的 parquet-avro 模块的不受信任数据反序列化问题。

该缺陷很可能是在该库的 1.8.0 版本中引入的，并在 Parquet 1.15.1 版本发布时得到解决。

“此漏洞可能会影响导入 Parquet 文件的数据管道和分析系统，尤其是当这些文件来自外部或不受信任的来源时。如果攻击者可以篡改这些文件，则可能会触发该漏洞。”应用安全公司Endor Labs 指出。

当系统读取精心设计的 Parquet 文件时，就会触发此安全缺陷，从而导致远程代码执行 (RCE)。

通过利用该漏洞，攻击者可以控制易受攻击的系统，窃取或修改敏感信息，部署勒索软件和其他类型的恶意软件，或关闭服务，从而导致拒绝服务（DoS）情况。

据 Endor Labs 称，所有通过 Hadoop 或 Spark 等大数据框架读取或导入 Parquet 文件的系统以及包含 Parquet Java 代码的应用程序都存在漏洞。

Endor Labs 指出：“如果您不确定您的软件堆栈是否使用 Parquet，请咨询您的供应商或开发人员——许多数据分析和存储解决方案都包含这个库。”

该应用安全公司指出，没有证据表明 CVE-2025-30065 已被广泛利用，但其严重性表明攻击者可能很快就会将其添加到他们的武器库中。

除了更新至 Parquet 1.15.1 版外，还建议用户警惕来自未知或不受信任来源的 Parquet 文件，并考虑完全阻止其处理。他们还应实施有效的监控和日志记录功能，以识别任何可疑行为。

Endor Labs 指出：“请留意 Apache 或网络安全机构的进一步建议。此漏洞正在不断演变，可能会出现更多指导或补丁。应用所有推荐的软件更新（不仅限于 Parquet）并遵循安全配置实践将增强您的防御能力。”

漏洞公告

https://www.openwall.com/lists/oss-security/2025/04/01/1

https://www.endorlabs.com/learn/critical-rce-vulnerability-in-apache-parquet-cve-2025-30065---advisory-and-analysis

新闻链接：

https://www.securityweek.com/critical-apache-parquet-vulnerability-leads-to-remote-code-execution/

讲述普通人能听懂的安全故事