Apache Parquet Avro格式反序列漏洞
Apache Parquet Java 是一个开源的工具,用于优化大规模数据处理。其中 parquet-avro 模块用于转换 parquet 格式与 avro 数据格式。
在 parquet-avro 1.15.0 及之前的版本中,AvroConverters.java 中的 FieldStringableConverter 方法未对传入的 stringableClass 对象进行校验操作,导致在将 parquet 文件转换为 avro 的过程中可实例化任意类并调用构造方法,攻击者可利用该特性传入恶意 parquet 文件,执行任意代码。
修复版本通过 checkSecurity 函数来实现白名单限制,对传入的 stringableClass 对象进行校验,只允许受信任包下的 stringableClass 对象通过,限制反序列化的恶意类加载。
| 漏洞名称 | Apache Parquet Avro 格式反序列漏洞 |
|---|---|
| 漏洞类型 | 反序列化 |
| 发现时间 | 2025-04-01 |
| 漏洞影响广度 | - |
| MPS 编号 | MPS-gj1h-x6aw |
| CVE 编号 | CVE-2025-30065 |
| CNVD 编号 | - |
影响范围
org.apache.parquet:parquet-avro@(-∞, 1.15.1)
修复方案
将组件 org.apache.parquet:parquet-avro 升级至 1.15.1 及以上版本
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2025-30065
-
MacOS系统安装PhpStudy的详细流程
在macos上安装phpstudy的步骤是:1.下载phpstudy,2.安装phpstudy,3.启动phpstudy。phpstudy是一个集成的开发环境,包含php、mysql、apache等组
-
SSL证书如何创建私钥?
在SSL证书配置过程中,私钥的创建是至关重要的环节,它与SSL证书共同保障了数据传输的安全性。私钥如同一把特殊的钥匙,只有持有它的服务器才能解密由相应公钥加密的数据。以下为您详细介绍在不同环境下创建私
-
中文域名如何申请SSL证书?
中文域名申请SSL证书与英文域名申请SSL证书过程相似,但由于中文域名的特殊性,需要先进行中文域名转码。中文域名转码由于中文字符不属于ASCII字符集,无法直接在计算机中使用,因此需要将中文域名转换为
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注KnowSafe微信公众号随时掌握互联网精彩
- 黑客利用FastHTTP库对全球Microsoft 365账户发起高速暴力破解
- 微软Edge更新 收藏夹图标悄然改头换面:从黄色变透明
- 与AI同行,2023年度“开发者之选”AI口碑榜评选征集启航!
- 感受大自然奇妙的魅力|骁龙影像赏
- 线上沙龙精彩回顾:《Frida辅助安卓SO算法还原和自动化黑盒调用》
- 网站被入侵、攻击,相关企业要负责任吗?
- 腾讯本周或正式宣布合并搜狗;纯金iPhone 13 Pro起售价27万;库克谈全体员工大会泄密给媒体事件:将全力追查|极客头条
- 披着“智慧”外衣的停车场,明目张胆泄露隐私
- 征题倒计时!2021 KCTF 春季赛 等你来挑战!
- 10 年 Java 老兵宝藏资料,倾情奉献!
- 请坐稳:10Gbps 5G时代已经到来
- 涉违法!「健康码演示」APP 已下架
