Vulnerabilitatea Apache Parquet Java permite executarea de cod arbitrar
Sursă: https://cybersecuritynews.com/
A fost dezvăluită o nouă vulnerabilitate de securitate în Apache Parquet Java care ar putea permite atacatorilor să execute cod arbitrar prin fișiere Parquet malițioase.
Vulnerabilitatea, identificată ca CVE-2025-46762, afectează toate versiunile Apache Parquet Java până la 1.15.1.
Apache Parquet este un format de fișier de stocare columnar conceput pentru stocarea și recuperarea eficientă a datelor în ecosistemele de date mari. Este utilizat pe scară largă cu framework-uri de procesare precum Apache Hadoop, Spark și Flink, ceea ce face ca această vulnerabilitate să fie potențial răspândită în infrastructurile de analiză a datelor.
Această vulnerabilitate se află în modulul parquet-avro, care este responsabil pentru prelucrarea schemelor Avro încorporate în metadatele fișierelor Parquet.
În timp ce Apache Parquet 1.15.1 a introdus o soluție pentru a restricționa pachetele malițioase, specialiștii în domeniul securității au identificat că setarea implicită a pachetelor de încredere a rămas permisivă, permițând în continuare executarea claselor malițioase din aceste pachete.
Exploatarea vizează în special aplicațiile care utilizează modelele specific sau reflect pentru citirea fișierelor Parquet, în timp ce modelul generic rămâne neafectat.
Aplicațiile care utilizează modulul parchet-avro al Apache Parquet Java pentru a deserializa date din fișiere Parquet sunt expuse riscului de executare de cod de la distanță dacă prelucrează fișiere care nu sunt de încredere.
Echipa Apache Parquet a lansat versiunea 1.15.2 la 1 mai 2025, care remediază complet vulnerabilitatea.
Utilizatorii au la dispoziție două opțiuni de remediere recomandate:
- actualizarea la Apache Parquet Java 1.15.2, care include soluții complete pentru vulnerabilitate;
- pentru cei care nu pot face actualizarea imediat, dar rulează versiunea 1.15.1, setați proprietatea de sistem org.apache.parquet.avro.SERIALIZABLE_PACKAGES la un string gol.
Ambele abordări atenuează în mod eficient vulnerabilitatea prin prevenirea executării de coduri malițioase din pachete de încredere.
Sursă: https://cybersecuritynews.com/apache-parquet-java-vulnerability/
