Apache Parquet Avro格式反序列漏洞
Apache Parquet Java 是一个开源的工具,用于优化大规模数据处理。其中 parquet-avro 模块用于转换 parquet 格式与 avro 数据格式。
在 parquet-avro 1.15.0 及之前的版本中,AvroConverters.java 中的 FieldStringableConverter 方法未对传入的 stringableClass 对象进行校验操作,导致在将 parquet 文件转换为 avro 的过程中可实例化任意类并调用构造方法,攻击者可利用该特性传入恶意 parquet 文件,执行任意代码。
修复版本通过 checkSecurity 函数来实现白名单限制,对传入的 stringableClass 对象进行校验,只允许受信任包下的 stringableClass 对象通过,限制反序列化的恶意类加载。
| 漏洞名称 | Apache Parquet Avro 格式反序列漏洞 |
|---|---|
| 漏洞类型 | 反序列化 |
| 发现时间 | 2025-04-01 |
| 漏洞影响广度 | - |
| MPS 编号 | MPS-gj1h-x6aw |
| CVE 编号 | CVE-2025-30065 |
| CNVD 编号 | - |
影响范围
org.apache.parquet:parquet-avro@(-∞, 1.15.1)
修复方案
将组件 org.apache.parquet:parquet-avro 升级至 1.15.1 及以上版本
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2025-30065
-
MacOS系统安装PhpStudy的详细流程
在macos上安装phpstudy的步骤是:1.下载phpstudy,2.安装phpstudy,3.启动phpstudy。phpstudy是一个集成的开发环境,包含php、mysql、apache等组
-
SSL证书如何创建私钥?
在SSL证书配置过程中,私钥的创建是至关重要的环节,它与SSL证书共同保障了数据传输的安全性。私钥如同一把特殊的钥匙,只有持有它的服务器才能解密由相应公钥加密的数据。以下为您详细介绍在不同环境下创建私
-
中文域名如何申请SSL证书?
中文域名申请SSL证书与英文域名申请SSL证书过程相似,但由于中文域名的特殊性,需要先进行中文域名转码。中文域名转码由于中文字符不属于ASCII字符集,无法直接在计算机中使用,因此需要将中文域名转换为
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注KnowSafe微信公众号随时掌握互联网精彩
- 谷歌驳斥所谓的25亿名Gmail用户遭遇重大安全问题需要更改密码的说法
- KrillinAI 开源AI视频神器,翻译、配音、语音克隆统统搞定!
- Code-Server将代码编辑器嵌入浏览器
- 华为:鸿蒙、欧拉知识产权全部开放!
- 阿帕网退役 | 历史上的今天
- 华为公布 HarmonyOS 3 升级最新进展;内部人士回应马斯克决定任命朱晓彤为特斯拉全球 CEO|极客头条
- 弃用!Github 上用了 Git.io 缩址服务的都注意了
- 诸子云沙龙系列活动 | 2021.9.25北京.综合场
- 网安星播客 | 马一烈:安全即算法
- 做个“原年人”,过个“幸福年”,又拍云送福利啦!
- Redmi Note 9 Pro体验报告:有颜,有料,有绝技
- 编程人的「对象」长啥样?
