一、 漏洞 CVE-2025-30065 基础信息
漏洞信息
# Apache Parquet Java parquet-avro模块远程代码执行漏洞
## 漏洞描述
### 概述
Apache Parquet 的 parquet-avro 模块在解析 Schema 时存在漏洞,允许恶意用户执行任意代码。
### 影响版本
Apache Parquet 版本 1.15.0 及之前的所有版本均受影响。
### 细节
该漏洞存在于 Apache Parquet 的 parquet-avro 模块中,在处理不安全的 Schema 数据时,可导致任意代码执行问题。攻击者可以通过构造恶意数据来利用此漏洞执行未授权的操作。
### 影响
此漏洞可能导致系统被恶意用户控制并执行任意代码,带来严重的安全风险。
### 解决方案
建议将 Apache Parquet 升级至 1.15.1 版本,该版本已修复相关问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Parquet Java: Arbitrary code execution in the parquet-avro module when reading an Avro schema from a Parquet file metadata
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Schema parsing in the parquet-avro module of Apache Parquet 1.15.0 and previous versions allows bad actors to execute arbitrary code
Users are recommended to upgrade to version 1.15.1, which fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
可信数据的反序列化
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Parquet 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Parquet是美国阿帕奇(Apache)基金会的一种列式存储格式。可用于 Hadoop 生态系统中的任何项目。 Apache Parquet 1.15.0及之前版本存在代码问题漏洞,该漏洞源于parquet-avro模块的模式解析可能导致执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-30065 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | After reviewing the provided Proof of Concept (PoC) for CVE-2025-30065, it appears that the vulnerability exploits the deserialization mechanism in Apache Parquet's handling of Avro schemas, particularly through the use of the default property to instantiate arbitrary classes. | https://github.com/h3st4k3r/CVE-2025-30065 | POC详情 |
| 2 | PoC | https://github.com/bjornhels/CVE-2025-30065 | POC详情 |
| 3 | CVE-2025-30065 PoC | https://github.com/ron-imperva/CVE-2025-30065-PoC | POC详情 |
| 4 | None | https://github.com/mouadk/parquet-rce-poc-CVE-2025-30065 | POC详情 |
| 5 | A CVSS 10.0-rated vulnerability in the parquet-avro Java module allows remote code execution via unsafe deserialization when parsing schemas. Tracked as CVE-2025-30065, this flaw affects Apache Parquet ≤ 1.15.0. All users must upgrade to version 1.15.1 immediately to mitigate exploitation risks. | https://github.com/ThreatRadarAI/TRAI-001-Critical-RCE-Vulnerability-in-Apache-Parquet-CVE-2025-30065-Simulation | POC详情 |
| 6 | None | https://github.com/F5-Labs/parquet-canary-exploit-rce-poc-CVE-2025-30065 | POC详情 |
| 7 | CVE-2025-30065 | https://github.com/B1ack4sh/Blackash-CVE-2025-30065 | POC详情 |
三、漏洞 CVE-2025-30065 的情报信息
![[ANNOUNCE] Apache Parquet Java 1.15.1-Apache Mail Archives](https://cvepdf.imfht.com:2443//ti_screenshot/2025-04-08/screenshot-full-2025-04-08T19-38-16.466Z-8d60802a948e6f39436d.webp)
四、漏洞 CVE-2025-30065 的评论
暂无评论