Apache Parquet Avro格式反序列漏洞
Apache Parquet Java 是一个开源的工具,用于优化大规模数据处理。其中 parquet-avro 模块用于转换 parquet 格式与 avro 数据格式。
在 parquet-avro 1.15.0 及之前的版本中,AvroConverters.java 中的 FieldStringableConverter 方法未对传入的 stringableClass 对象进行校验操作,导致在将 parquet 文件转换为 avro 的过程中可实例化任意类并调用构造方法,攻击者可利用该特性传入恶意 parquet 文件,执行任意代码。
修复版本通过 checkSecurity 函数来实现白名单限制,对传入的 stringableClass 对象进行校验,只允许受信任包下的 stringableClass 对象通过,限制反序列化的恶意类加载。
| 漏洞名称 | Apache Parquet Avro 格式反序列漏洞 |
|---|---|
| 漏洞类型 | 反序列化 |
| 发现时间 | 2025-04-01 |
| 漏洞影响广度 | - |
| MPS 编号 | MPS-gj1h-x6aw |
| CVE 编号 | CVE-2025-30065 |
| CNVD 编号 | - |
影响范围
org.apache.parquet:parquet-avro@(-∞, 1.15.1)
修复方案
将组件 org.apache.parquet:parquet-avro 升级至 1.15.1 及以上版本
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2025-30065
-
MacOS系统安装PhpStudy的详细流程
在macos上安装phpstudy的步骤是:1.下载phpstudy,2.安装phpstudy,3.启动phpstudy。phpstudy是一个集成的开发环境,包含php、mysql、apache等组
-
SSL证书如何创建私钥?
在SSL证书配置过程中,私钥的创建是至关重要的环节,它与SSL证书共同保障了数据传输的安全性。私钥如同一把特殊的钥匙,只有持有它的服务器才能解密由相应公钥加密的数据。以下为您详细介绍在不同环境下创建私
-
中文域名如何申请SSL证书?
中文域名申请SSL证书与英文域名申请SSL证书过程相似,但由于中文域名的特殊性,需要先进行中文域名转码。中文域名转码由于中文字符不属于ASCII字符集,无法直接在计算机中使用,因此需要将中文域名转换为
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注KnowSafe微信公众号随时掌握互联网精彩
- SinoDB国产数据库管理系统产品
- Penpot专门用来帮助设计师和开发者更好地合作的软件
- 想要深入了解各类CVE漏洞,get独立挖掘和分析漏洞的能力吗?
- 诸子云 | 2022评优:最佳分会候选展示与投票
- 【预售】CTF训练营-Web篇,全方位立体化学习!
- 华为汪涛:5.5G持续深化数智社会,三个加速实现三个领先
- 基础能力、分布式能力、系统应用…OpenHarmony 3.1 Release 版本带来全方位升级
- 五眼联盟宣称俄罗斯政府将带来更多恶意网络活动
- 下月苹果“小春晚”,M2 芯片终于要来了?
- 硬件工程师年薪26万美元、软件工程师30万,在谷歌打工“香”吗?
- Spring Boot 高效入门实战
- 6000万条GitHub帖子告诉你:工作状态与表情符号强相关
