高危!Apache Parquet Java库曝远程代码执行(RCE)漏洞,需立即修复
Apache Parquet Java组件中新发现一个严重安全漏洞编号CVE-2025-46762攻击者可通过特制的Parquet文件实现任意代码执行。该漏洞影响1.15.1及之前所有版本。Apache Parquet是一种面向大数据生态的列式存储文件格式广泛应用于Apache Hadoop、Spark和Flink等处理框架这使得该漏洞可能对数据分析基础设施造成广泛影响。Parquet-Avro模块漏洞分析该安全缺陷存在于parquet-avro模块中该模块负责处理Parquet文件元数据中的AvroApache Avro模式。虽然Apache Parquet 1.15.1版本在2025年3月已针对不受信任包添加了限制措施但安全研究人员发现其信任包的默认设置仍过于宽松导致恶意类仍可能被执行。Apache软件基金会的安全公告指出Apache Parquet 1.15.0及更早版本的parquet-avro模块在模式解析过程中可能被攻击者利用来执行任意代码。该漏洞特别针对使用specific或reflect模式读取Parquet文件的应用而generic模式不受影响。漏洞影响与风险因素风险要素详细说明受影响产品Apache Parquet Java 1.15.1及更早版本特别是parquet-avro模块危害程度任意代码执行利用前提- 使用Apache Parquet Java ≤1.15.1- 启用了parquet-avro模块- 采用specific或reflect模式读取Parquet文件- 攻击者需提供包含恶意Avro模式的Parquet文件CVSS 3.1评分高危9.8该漏洞源于Avro模式在反序列化过程中的处理缺陷攻击者可注入在模式解析阶段执行的恶意代码。值得注意的是这与2025年4月发现的另一个反序列化漏洞CVE-2025-30065存在相似性后者同样影响parquet-avro模块。修复方案与缓解措施Apache Parquet团队已于2025年5月1日发布1.15.2版本彻底修复该漏洞。建议受影响用户采取以下措施升级方案升级至Apache Parquet Java 1.15.2该版本包含完整的漏洞修复临时缓解对于无法立即升级但使用1.15.1版本的用户可将系统属性org.apache.parquet.avro.SERIALIZABLE_PACKAGES设置为空字符串两种方案均可通过阻止信任包中恶意代码的执行来有效缓解漏洞风险。建议所有在数据管道中使用Apache Parquet的组织立即进行系统审计并应用推荐的修复措施。注该漏洞由安全研究人员Andrew Pikler、David Handermann和Nándor Kollár在序列化漏洞研究中发现并负贵披露。

相关新闻

从0到1掌握RAG:解决大模型落地痛点的终极方案,建议收藏!

从0到1掌握RAG:解决大模型落地痛点的终极方案,建议收藏!

在公司想去将大模型能力落地到实际的产品上时,面临一个严峻问题就是,使用通用大模型只能应对简单的对话,但完全不了解业务和产品,回答内容质量差;但微调一个模型,让其完全熟悉业务,又要花费很大…

2026/7/5 14:43:10 阅读更多 →
2026测试变革:提示工程为何成为测试工程师的生存必修课

2026测试变革:提示工程为何成为测试工程师的生存必修课

从代码到指令的范式迁移 2026年的软件测试领域正经历一场由AI驱动的能力重构。当传统自动化测试依赖脚本编写时,AI工具(如大语言模型、视觉测试框架)已能通过自然语言指令生成测试用例、定位缺陷并输出报告。这一变革将提示工程(…

2026/7/4 15:33:53 阅读更多 →
Nodejs+vueAPP-python医养结合养老院活动报名服务系统 小程序

Nodejs+vueAPP-python医养结合养老院活动报名服务系统 小程序

文章目录 系统概述技术架构核心功能创新点应用价值 --nodejs技术栈--结论源码文档获取/同行可拿货,招校园代理 :文章底部获取博主联系方式! 系统概述 Node.jsVue与Python结合的医养结合养老院活动报名服务系统,是一款面向老年人及家属的小程…

2026/7/4 16:18:13 阅读更多 →

最新新闻

深度解析Bottles:如何在Linux上轻松运行Windows游戏和软件

深度解析Bottles:如何在Linux上轻松运行Windows游戏和软件

深度解析Bottles:如何在Linux上轻松运行Windows游戏和软件 【免费下载链接】Bottles Run Windows software and games on Linux 项目地址: https://gitcode.com/gh_mirrors/bo/Bottles 你是否曾经因为某个心爱的Windows游戏或专业软件无法在Linux上运行而感到…

2026/7/5 15:14:30 阅读更多 →
高效技巧怎么用 AI 做表格,搭配 AI 导出鸭一站式搞定表格生成与导出工作

高效技巧怎么用 AI 做表格,搭配 AI 导出鸭一站式搞定表格生成与导出工作

引言 日常办公、数据整理场景里,手工制表、格式转换耗费大量时间,AI工具重塑表格制作流程,AI 导出鸭作为核心辅助工具,打通从生成到导出全流程,下文拆解完整实操体系。 一、项目核心痛点与市场需求 当下职场、学生、自…

2026/7/5 15:14:30 阅读更多 →
oyunfor土区礼品卡购买教程及踩坑记录

oyunfor土区礼品卡购买教程及踩坑记录

前置条件🔮我用的美丽国 chorme浏览器(edge没成功) 可安装翻译插件 招商银行万事达(研究生优选) 网络连接设置 属性里取消勾选ipv6协议(买好再改回来)1.注册账号需🔮 用的QQ邮箱,Gmail邮箱收不到验证码 其他信息正常填写,号码862.…

2026/7/5 15:10:30 阅读更多 →
教师资格证认定

教师资格证认定

前言 认定是获取教师资格证的第三个环节,也是最后一个环节。认定通过之后,即可取得教师资格证。 认定时间和认定条件 认定时间 每年的教师资格认定工作有上半年和下半年两个批次。不同于笔试和面试,教师资格证认定的时间并非全国统一。认定的…

2026/7/5 15:10:29 阅读更多 →
NTP算法实现客户端与服务器时间同步

NTP算法实现客户端与服务器时间同步

基于四时间戳(T1~T4)的NTP级时间同步机制:通过分离 Client→Server 与 Server→Client 传输时间计算延迟时间,通过记录请求发送(T1)、服务端接收(T2)/回复(T3)、客户端接收(T4)四个时间戳,利用对称消除公式 Offset (T…

2026/7/5 15:10:29 阅读更多 →
新e选烤火罩异味[主里料] GB 18401—2010 6.7 判定符合检测标准与测试条件

新e选烤火罩异味[主里料] GB 18401—2010 6.7 判定符合检测标准与测试条件

国标要求:纺织品无异味;恒温密闭环境专业嗅辨。实测结果内里衬料无任何化工、塑胶、胶水异味,嗅辨合格。家用实用优势部分烤火罩外层做除味处理,但内里廉价衬布残留浓烈胶水味,高温烘烤后异味从内部散发。新e选烤火罩里…

2026/7/5 15:08:29 阅读更多 →

日新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

月新闻