支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2025-30065 基础信息
漏洞信息
                                        # Apache Parquet Java parquet-avro模块远程代码执行漏洞

## 漏洞描述

### 概述
Apache Parquet 的 parquet-avro 模块在解析 Schema 时存在漏洞,允许恶意用户执行任意代码。

### 影响版本
Apache Parquet 版本 1.15.0 及之前的所有版本均受影响。

### 细节
该漏洞存在于 Apache Parquet 的 parquet-avro 模块中,在处理不安全的 Schema 数据时,可导致任意代码执行问题。攻击者可以通过构造恶意数据来利用此漏洞执行未授权的操作。

### 影响
此漏洞可能导致系统被恶意用户控制并执行任意代码,带来严重的安全风险。

### 解决方案
建议将 Apache Parquet 升级至 1.15.1 版本,该版本已修复相关问题。
神龙判断

是否为 Web 类漏洞:

判断理由:

是。这个漏洞是在Apache Parquet的parquet-avro模块中,影响1.15.0及之前版本的模式解析过程,允许恶意用户执行任意代码。这通常意味着服务端在处理由客户端提供的特定数据格式时存在安全漏洞,可能会导致服务端被攻击。用户被建议升级到1.15.1版本以修复此问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Parquet Java: Arbitrary code execution in the parquet-avro module when reading an Avro schema from a Parquet file metadata
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Schema parsing in the parquet-avro module of Apache Parquet 1.15.0 and previous versions allows bad actors to execute arbitrary code Users are recommended to upgrade to version 1.15.1, which fixes the issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
可信数据的反序列化
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Parquet 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Parquet是美国阿帕奇(Apache)基金会的一种列式存储格式。可用于 Hadoop 生态系统中的任何项目。 Apache Parquet 1.15.0及之前版本存在代码问题漏洞,该漏洞源于parquet-avro模块的模式解析可能导致执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-30065 的公开POC
#POC 描述源链接神龙链接
1​After reviewing the provided Proof of Concept (PoC) for CVE-2025-30065, it appears that the vulnerability exploits the deserialization mechanism in Apache Parquet's handling of Avro schemas, particularly through the use of the default property to instantiate arbitrary classes.https://github.com/h3st4k3r/CVE-2025-30065POC详情
2PoChttps://github.com/bjornhels/CVE-2025-30065POC详情
3CVE-2025-30065 PoChttps://github.com/ron-imperva/CVE-2025-30065-PoCPOC详情
4Nonehttps://github.com/mouadk/parquet-rce-poc-CVE-2025-30065POC详情
5A CVSS 10.0-rated vulnerability in the parquet-avro Java module allows remote code execution via unsafe deserialization when parsing schemas. Tracked as CVE-2025-30065, this flaw affects Apache Parquet ≤ 1.15.0. All users must upgrade to version 1.15.1 immediately to mitigate exploitation risks.https://github.com/ThreatRadarAI/TRAI-001-Critical-RCE-Vulnerability-in-Apache-Parquet-CVE-2025-30065-SimulationPOC详情
6Nonehttps://github.com/F5-Labs/parquet-canary-exploit-rce-poc-CVE-2025-30065POC详情
7CVE-2025-30065https://github.com/B1ack4sh/Blackash-CVE-2025-30065POC详情
8CVE-2025-30065https://github.com/Ashwesker/Blackash-CVE-2025-30065POC详情
9CVE-2025-30065https://github.com/Ashwesker/Ashwesker-CVE-2025-30065POC详情
三、漏洞 CVE-2025-30065 的情报信息

  • 标题: [ANNOUNCE] Apache Parquet Java 1.15.1-Apache Mail Archives -- 🔗来源链接

    标签:vendor-advisory

    神龙速读:
                                            从这个网页截图中,关于漏洞的关键信息如下:

- **版本发布**:Apache Parquet Java 1.15.1 发布公告。
- **发布时间**:2025年3月17日。
- **变更记录**:详细变更记录可以在以下链接中查看:
  - [GitHub Release Notes](https://github.com/apache/parquet-java/releases/tag/apache-parquet-1.15.1)
- **下载链接**:该版本可以从以下链接下载:
  - [Download Link](https://dist.apache.org/repos/dist/release/parquet/apache-parquet-1.15.1)
- **Java Artifacts**:Java artifacts 可以从以下链接获取:
  - [Repository Link](https://repository.apache.org/content/groups/public/org/apache/parquet)

这些信息主要集中在版本发布和更新内容上,并未直接提及具体的漏洞信息。如果需要了解漏洞详情,可能需要进一步查看变更记录或相关安全公告。
    [ANNOUNCE] Apache Parquet Java 1.15.1-Apache Mail Archives
  • https://nvd.nist.gov/vuln/detail/CVE-2025-30065
四、漏洞 CVE-2025-30065 的评论

暂无评论

发表评论