【安全资讯】Apache Parquet发现严重的远程代码执行漏洞

概要：

近期，Apache Parquet被发现存在最高严重级别的远程代码执行（RCE）漏洞，影响所有版本直至1.15.0。该漏洞源于对不可信数据的反序列化，攻击者可利用特制的Parquet文件控制目标系统，窃取或修改数据，甚至引入勒索软件等恶意负载。此漏洞被标记为CVE-2025-30065，CVSS v4评分为10.0，已在1.15.1版本中修复。

主要内容：

Apache Parquet是一种开源的列式存储格式，广泛应用于数据处理和分析，尤其是在大数据平台如Hadoop、AWS和Google云服务中。该漏洞的披露源于亚马逊研究员Keyi Li的负责任披露，指出在1.15.0及之前版本的parquet-avro模块中，恶意行为者可执行任意代码。

安全公司Endor Labs警告，CVE-2025-30065的利用可能会影响任何导入Parquet文件的数据管道和分析系统，尤其是来自外部源的文件。尽管漏洞的潜在威胁令人担忧，但攻击者必须说服用户导入特制的恶意Parquet文件才能成功利用这一漏洞。

为了降低风险，建议用户尽快升级至1.15.1版本，避免处理不可信的Parquet文件，并在处理过程中加强监控和日志记录。虽然目前尚未发现活跃的利用案例，但由于该漏洞的严重性及Parquet文件的广泛使用，风险依然很高。受影响系统的管理员应尽快采取行动，以确保系统安全。