高危!Apache Parquet Java库曝远程代码执行(RCE)漏洞,需立即修复
Apache Parquet Java组件中新发现一个严重安全漏洞编号CVE-2025-46762攻击者可通过特制的Parquet文件实现任意代码执行。该漏洞影响1.15.1及之前所有版本。Apache Parquet是一种面向大数据生态的列式存储文件格式广泛应用于Apache Hadoop、Spark和Flink等处理框架这使得该漏洞可能对数据分析基础设施造成广泛影响。Parquet-Avro模块漏洞分析该安全缺陷存在于parquet-avro模块中该模块负责处理Parquet文件元数据中的AvroApache Avro模式。虽然Apache Parquet 1.15.1版本在2025年3月已针对不受信任包添加了限制措施但安全研究人员发现其信任包的默认设置仍过于宽松导致恶意类仍可能被执行。Apache软件基金会的安全公告指出Apache Parquet 1.15.0及更早版本的parquet-avro模块在模式解析过程中可能被攻击者利用来执行任意代码。该漏洞特别针对使用specific或reflect模式读取Parquet文件的应用而generic模式不受影响。漏洞影响与风险因素风险要素详细说明受影响产品Apache Parquet Java 1.15.1及更早版本特别是parquet-avro模块危害程度任意代码执行利用前提- 使用Apache Parquet Java ≤1.15.1- 启用了parquet-avro模块- 采用specific或reflect模式读取Parquet文件- 攻击者需提供包含恶意Avro模式的Parquet文件CVSS 3.1评分高危9.8该漏洞源于Avro模式在反序列化过程中的处理缺陷攻击者可注入在模式解析阶段执行的恶意代码。值得注意的是这与2025年4月发现的另一个反序列化漏洞CVE-2025-30065存在相似性后者同样影响parquet-avro模块。修复方案与缓解措施Apache Parquet团队已于2025年5月1日发布1.15.2版本彻底修复该漏洞。建议受影响用户采取以下措施升级方案升级至Apache Parquet Java 1.15.2该版本包含完整的漏洞修复临时缓解对于无法立即升级但使用1.15.1版本的用户可将系统属性org.apache.parquet.avro.SERIALIZABLE_PACKAGES设置为空字符串两种方案均可通过阻止信任包中恶意代码的执行来有效缓解漏洞风险。建议所有在数据管道中使用Apache Parquet的组织立即进行系统审计并应用推荐的修复措施。注该漏洞由安全研究人员Andrew Pikler、David Handermann和Nándor Kollár在序列化漏洞研究中发现并负贵披露。

相关新闻

从0到1掌握RAG:解决大模型落地痛点的终极方案,建议收藏!

从0到1掌握RAG:解决大模型落地痛点的终极方案,建议收藏!

在公司想去将大模型能力落地到实际的产品上时,面临一个严峻问题就是,使用通用大模型只能应对简单的对话,但完全不了解业务和产品,回答内容质量差;但微调一个模型,让其完全熟悉业务,又要花费很大…

2026/7/3 15:45:32 阅读更多 →
2026测试变革:提示工程为何成为测试工程师的生存必修课

2026测试变革:提示工程为何成为测试工程师的生存必修课

从代码到指令的范式迁移 2026年的软件测试领域正经历一场由AI驱动的能力重构。当传统自动化测试依赖脚本编写时,AI工具(如大语言模型、视觉测试框架)已能通过自然语言指令生成测试用例、定位缺陷并输出报告。这一变革将提示工程(…

2026/7/4 15:33:53 阅读更多 →
Nodejs+vueAPP-python医养结合养老院活动报名服务系统 小程序

Nodejs+vueAPP-python医养结合养老院活动报名服务系统 小程序

文章目录 系统概述技术架构核心功能创新点应用价值 --nodejs技术栈--结论源码文档获取/同行可拿货,招校园代理 :文章底部获取博主联系方式! 系统概述 Node.jsVue与Python结合的医养结合养老院活动报名服务系统,是一款面向老年人及家属的小程…

2026/7/4 16:18:13 阅读更多 →

最新新闻

Python练习题002篇

Python练习题002篇

文章目录 模块一:布尔类型与比较运算符 练习题 模块二:基本if单分支选择结构 练习题 模块三:if-else双分支选择结构 练习题 模块四:逻辑运算符(and / or / not) 练习题 模块五:多重if(elif)多分支选择结构 练习题 模块六:嵌套if选择结构 练习题 综合练习题(侧重Linu…

2026/7/5 14:36:22 阅读更多 →
Blender UV编辑终极指南:UvSquares插件一键重塑UV网格

Blender UV编辑终极指南:UvSquares插件一键重塑UV网格

Blender UV编辑终极指南:UvSquares插件一键重塑UV网格 【免费下载链接】UvSquares Blender addon for reshaping UV quad selection into a grid. 项目地址: https://gitcode.com/gh_mirrors/uv/UvSquares 想要彻底告别繁琐的UV调整工作吗?UvSqua…

2026/7/5 14:32:21 阅读更多 →
vue学习笔记(持续更新)

vue学习笔记(持续更新)

目录vue的学习笔记使用emit的步骤使用vue-Router的坑点报错信息报错原因总结错误代码正确代码一句话最终结论箭头函数速记口诀涓滴之水终可磨损大石,不是由于它力量强大,而是由于昼夜不舍的滴坠。 —贝多芬 vue的学习笔记 使用emit的步骤 在子组件定义…

2026/7/5 14:32:21 阅读更多 →
【ESP32】ESP-IDF开发环境搭建(cursor)

【ESP32】ESP-IDF开发环境搭建(cursor)

1 前言 ESP-IDF 是乐鑫主推的ESP32的开发框架,旨在协助用户快速开发物联网 (IoT) 应用,可满足用户对 Wi-Fi、蓝牙、低功耗等方面的要求。 [https://docs.espressif.com/projects/esp-idf/zh_CN/latest/esp32/get-started/index.html] 如需在 ESP32 上使用…

2026/7/5 14:32:21 阅读更多 →
解锁Mi-Create:打造个性化小米手表表盘的完整指南

解锁Mi-Create:打造个性化小米手表表盘的完整指南

解锁Mi-Create:打造个性化小米手表表盘的完整指南 【免费下载链接】Mi-Create Unofficial watchface creator for Xiaomi wearables ~2021 and above 项目地址: https://gitcode.com/gh_mirrors/mi/Mi-Create 想要为你的小米智能手表设计独一无二的个性化表盘…

2026/7/5 14:32:21 阅读更多 →
ConvNeXt 的 torchvision 版本 模型结构的代码实现

ConvNeXt 的 torchvision 版本 模型结构的代码实现

ConvNeXt 的 torchvision 版本 模型结构的代码实现 flyfish # flyfish convnext_tiny.py from collections.abc import Sequence from functools import partial from typing import Any, Callable, Optionalimport torch from torch import nn, Tensor from torch.nn import …

2026/7/5 14:28:21 阅读更多 →

日新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

月新闻