Apache Parquet Java 漏洞 CVE-2025-46762 使系统暴露于远程代码执行攻击

Apache Parquet Java 中发现了一个漏洞，可能导致系统暴露于远程代码执行 (RCE) 攻击。Apache Parquet 贡献者 Gang Wuhttps://github.com/wgtmac 发现了这个缺陷，该缺陷被追踪为 CVE-2025-46762，存在于 parquet-avro 模块中，并于 5 月 2 日公开披露。

此安全问题影响所有版本的 Apache Parquet Java，包括 1.15.1 版本，允许恶意行为者在易受攻击的系统上执行任意代码。

CVE-2025-46762 的技术细节

这个 漏洞 的核心在于 parquet-avro 模块内不安全的模式解析过程。该缺陷使攻击者能够将 恶意代码 注入到 Parquet 文件的元数据中，特别是在 Avro 模式内。当易受攻击的系统读取该文件时，此恶意代码会自动执行，为远程代码执行 (RCE) 铺平道路。

对于使用“specific”或“reflect”数据模型（而非更安全的“generic”模型）的系统，风险尤其突出。虽然“generic”模型不受此漏洞影响，但受信任包的默认配置仍然留有某些代码执行路径，可能允许通过预先批准的 Java 包（例如 java.util）触发漏洞利用。

受影响的系统和问题范围

CVE-2025-46762 的影响范围涵盖所有 Apache Parquet Java 版本，直至 1.15.1。 广泛的应用程序，特别是那些在 Apache Spark、Hadoop 和 Flink 等大数据框架中利用 parquet-avro 模块的应用程序，都容易受到此威胁的影响。 这些平台依赖该模块进行反序列化和模式解析，如果系统正在读取带有恶意 Avro 模式数据的 Parquet 文件，则会打开潜在的攻击面。

Apache Parquet Java 1.15.2 发布说明 (GitHub)

对于管理数据管道的组织，特别是那些在大数据生态系统中处理 Parquet 文件的组织，这种威胁是相当大的。如果未修补，攻击者可以将恶意 Parquet 文件注入数据流，从而通过后端的 漏洞 进行利用。

缓解策略

Apache 软件基金会敦促所有用户紧急解决此问题。 有两种主要的缓解策略可用：

1. 升级到 Apache Parquet Java 1.15.2：此版本通过收紧对受信任包的边界来完全解决此问题，确保恶意代码无法通过现有配置执行。
2. 版本 1.15.1 用户的补丁：对于无法立即升级的用户，建议设置 JVM 系统属性 -Dorg.apache.parquet.avro.SERIALIZABLE_PACKAGES=”” 为空。这将通过阻止执行来自潜在的 恶意包 的代码来降低风险。

此外，建议组织审计其数据管道，优先使用通用 Avro 模型，该模型不受漏洞影响。在可行的情况下实施此模型可以降低通过 CVE-2025-46762 进行 RCE 攻击的风险。

未修补的易受 CVE-2025-46762 攻击的系统不仅面临直接攻击，还面临供应链漏洞利用的风险，其中受损的 Parquet 文件可能会触发恶意代码的后端执行，从而导致广泛的系统故障。

安全专家强调了远程代码执行 (RCE) 的严重威胁，这可能导致数据泄露、未经授权的访问和其他恶意活动。鉴于此漏洞的性质及其对大规模数据环境的影响，快速行动至关重要。

强烈建议使用 Apache Parquet Java 1.15.1 及更早版本的用户升级到 1.15.2 版本或应用必要的补丁来缓解这些风险 ，从而确保其系统免受攻击。