专家警告称，Apache Parquet 的 Java 库存在一个严重漏洞，可能导致远程代码执行。

Apache Parquet 的 Java 库是一个用于在 Java 编程语言中读写 Parquet 文件的软件库。Parquet 是一种列式存储文件格式，经过优化，可与 Apache Hadoop、Apache Spark 和 Apache Drill 等大规模数据处理框架配合使用。

专家披露了一个被追踪为 CVE-2025-30065（通用漏洞评分系统（CVSS）评分为 10.0）的严重漏洞，该漏洞影响 Apache Parquet 的 Java 库，可能导致远程代码执行。

安全公告中写道：“Apache Parquet 1.15.0 及更早版本的 parquet-avro 模块中的模式解析功能，会让恶意行为者得以执行任意代码。”

CVE-2025-30065 漏洞属于不可信数据反序列化问题。该缺陷会影响导入 Parquet 文件的系统，尤其是从不可信来源导入文件的系统，攻击者可以通过篡改文件来利用这个漏洞。1.15.0 及更早版本都存在此漏洞，该缺陷最早可追溯到 1.8.0 版本。这会影响大数据框架（如 Hadoop、Spark、Flink）以及使用 Parquet 的定制应用程序。用户应检查自己的软件栈是否存在此问题。

Endor Labs 发布的一份报告称：“如果攻击者诱使存在漏洞的系统读取特制的 Parquet 文件，他们就可以在该系统上实现远程代码执行（RCE）。在实际情况中，这可能使他们能够：

1.控制系统：他们可以运行任何命令或软件，从而有效地掌控系统。

2.窃取或篡改数据：敏感信息可能会被访问、复制或修改。

3.安装恶意软件：攻击者可能会部署勒索软件、加密货币挖矿程序或其他恶意软件。

4.破坏服务：他们可以关闭服务或损坏数据，导致服务拒绝和业务中断。”

“受影响系统的所有保密性、完整性和可用性都面临风险（用 CVSS 术语来说，对这三个方面都有‘高度’影响）。尽管潜在危害巨大，但需要注意的是，只有在导入恶意 Parquet 文件时，该漏洞才会被利用。”

据 Endor Labs 称，截至 2025 年 4 月，尚未发现针对此漏洞的主动利用情况。然而，随着该问题的公开，威胁行为者可能会尝试利用它。研究人员敦促用户立即解决此问题。

为保护系统免受 CVE-2025-30065 漏洞的威胁，应将 Apache Parquet Java 升级到 1.15.1 或更高版本。如果无法升级，应避免从不可信来源获取 Parquet 文件，或对其进行验证，并实施输入验证。启用监控和日志记录功能以检测可疑行为，并随时关注 Apache 或网络安全机构发布的更新。采取这些措施将降低风险并保护系统安全。