Kritická zraniteľnosť v Apache Parquet
Vývojári stĺpcovo orientovaného formátu súborov Apache Parquet vydali bezpečnostné aktualizácie pre svoju knižnicu pre Java, ktoré opravujú kritickú zraniteľnosť. CVE-2025-30065 by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémami využívajúcimi predmetnú knižnicu.
Zraniteľné systémy:
- knižnica Java Apache Parquet vo verziách 1.15.0 a starších
Opis činnosti:
CVE-2025-30065 (CVSS skóre 10,0)
Zraniteľnosť v komponente parquet-avro spočíva v nesprávnom parsovaní schém umožňujúcom deserializáciu nedôveryhodných dát. Vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvorených súborov Parquet mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.
Pozn.: Zraniteľnosť je možné zneužiť vo všetkých analytických systémoch, ktoré importujú súbory Parquet z externých zdrojov – t.j. veľké big-data frameworky ako napr. Hadoop, Spark alebo Flink, ale aj vlastné aplikácie využívajúce knižnicu Java Parquet.
Možné škody:
- Vzdialené vykonanie príkazov
- Získanie úplnej kontroly nad systémom
Odporúčania:
Odporúčame uistiť sa, či Vaše produkty a služby nevyužívajú zraniteľné verzie knižnice Java Apache Parquet. Ak áno, odporúčame bezodkladnú aktualizáciu knižnice na verziu 1.15.1 alebo novšiu.
Mitigovať zraniteľnosť môžete dôkladnou validáciou súborov Parquet, pred ich importovaním a spracovaním.
Zdroje:
- https://www.openwall.com/lists/oss-security/2025/04/01/1
- https://www.endorlabs.com/learn/critical-rce-vulnerability-in-apache-parquet-cve-2025-30065—advisory-and-analysis
- https://nvd.nist.gov/vuln/detail/CVE-2025-30065
- https://www.bleepingcomputer.com/news/security/max-severity-rce-flaw-discovered-in-widely-used-apache-parquet/