漏洞核心信息
CVE编号:CVE-2025-30065(CVSS 10.0满分漏洞)
影响组件:Apache Parquet Java库的`parquet-avro`模块
漏洞类型:不可信数据反序列化(远程代码执行/RCE)
影响版本:1.8.0至1.15.0
波及范围:所有基于Hadoop/Spark/Flink等大数据框架的系统及自定义Parquet处理程序
漏洞危害
当系统解析恶意构造的Parquet文件时,攻击者可实现:
1. 完全控制系统:执行任意命令或部署恶意软件
2.数据泄露/篡改:窃取敏感信息或破坏数据完整性
3. 服务瘫痪:触发拒绝服务导致业务中断
4. 持久化攻击:植入勒索软件、挖矿程序等恶意负载
技术原理
漏洞源于Schema解析过程中:
1. 未对Parquet文件的Avro模式定义进行安全校验
2. 反序列化链存在缺陷,允许加载恶意序列化对象
3. 影响所有从不可信来源导入Parquet文件的场景
修复方案
| 措施等级 | 具体操作 |
|紧急处置| 立即升级至Apache Parquet 1.15.1+版本 |
| 临时缓解 | 严格校验外部Parquet文件来源,禁用Avro模式自动推断功能 |
| 监测防护| 部署文件完整性监控(FIM)及异常反序列化行为检测 |
行业响应
Apache官方:已发布1.15.1版本彻底修复该漏洞
Endor Labs:截至2025年4月未发现野外利用,但预警攻击可能快速出现
大数据平台建议:
- Spark用户需检查`spark-parquet`依赖版本
- Hadoop集群应更新`parquet-hadoop-bundle`组件
原文始发于微信公众号(黑猫安全):Apache Parquet Java库曝高危漏洞,可导致远程代码执行
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论