Apache Parquet Java 库 反序列化毛病 CVE-2025-30065

Apache Parquet Java 库 反序列化毛病 CVE-2025-30065

​CVE-2025-30065 是 Apache Parquet Java 库（特殊是其 parquet-avro 模块）中一个严重的反序列化毛病，允许攻击者通过特制的 Parquet 文件在目的体系上执行任意代码。​
毛病原理：
该毛病源于 parquet-avro 模块在剖析 Avro 模式（schema）元数据时，对不受信托数据的反序列化处理不当。​攻击者可以构造恶意的 Parquet 文件，利用该毛病在读取这些文件的体系上执行任意代码。 ​
受影响的类：
具体受影响的类位于 parquet-avro 模块中，涉及处理 Avro 模式剖析的部门。​由于官方未明确指出具体的类名，发起查看 parquet-avro 模块中负责模式剖析的干系类，以进一步分析毛病细节。​库版本1.8.0
利用代码（PoC）：
停止目前，尚未发现公开的针对 CVE-2025-30065 的完备利用代码（PoC）。​然而，鉴于该毛病的严重性，发起用户立刻采取措施举行防护。 ​
防范措施：
升级库版本： 将 Apache Parquet Java 库更新至 1.15.1 或更高版本，以修复该毛病。 ​
限定不受信托的输入： 在处理来自外部或不受信托来源的 Parquet 文件时，务必谨慎，避免处理未经验证的文件。​
监控与日志记录： 加强对处理 Parquet 文件的体系的监控，记录非常行为，以便及时发现潜在的攻击尝试。​
通过上述措施，可以有用降低该毛病带来的安全风险，掩护体系免受潜在攻击。​
后续我将对毛病举行复现

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。