Apache Parquet Java 库 反序列化毛病 CVE-2025-30065
Apache Parquet Java 库 反序列化毛病 CVE-2025-30065https://i-blog.csdnimg.cn/direct/0f061e4626884fc1aa40828f50ac06da.png#pic_center
CVE-2025-30065 是 Apache Parquet Java 库(特殊是其 parquet-avro 模块)中一个严重的反序列化毛病,允许攻击者通过特制的 Parquet 文件在目的体系上执行任意代码。
毛病原理:
该毛病源于 parquet-avro 模块在剖析 Avro 模式(schema)元数据时,对不受信托数据的反序列化处理不当。攻击者可以构造恶意的 Parquet 文件,利用该毛病在读取这些文件的体系上执行任意代码。
受影响的类:
具体受影响的类位于 parquet-avro 模块中,涉及处理 Avro 模式剖析的部门。由于官方未明确指出具体的类名,发起查看 parquet-avro 模块中负责模式剖析的干系类,以进一步分析毛病细节。库版本1.8.0
利用代码(PoC):
停止目前,尚未发现公开的针对 CVE-2025-30065 的完备利用代码(PoC)。然而,鉴于该毛病的严重性,发起用户立刻采取措施举行防护。
防范措施:
升级库版本: 将 Apache Parquet Java 库更新至 1.15.1 或更高版本,以修复该毛病。
限定不受信托的输入: 在处理来自外部或不受信托来源的 Parquet 文件时,务必谨慎,避免处理未经验证的文件。
监控与日志记录: 加强对处理 Parquet 文件的体系的监控,记录非常行为,以便及时发现潜在的攻击尝试。
通过上述措施,可以有用降低该毛病带来的安全风险,掩护体系免受潜在攻击。
后续我将对毛病举行复现
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]