Otkrivena je nova kritična sigurnosna ranjivost u Apache Parquet Javi koja bi mogla omogućiti napadačima izvršavanje proizvoljnog koda putem posebno kreiranih Parquet datoteka.
Ranjivost, označena kao CVE-2025-46762, utiče na sve verzije Apache Parquet Jave do verzije 1.15.1.
Apache Parquet je popularan format datoteka za pohranu u kolonama dizajniran za efikasno pohranjivanje i preuzimanje podataka u ekosistemima velikih podataka.
Široko se koristi s okvirima za obradu podataka poput Apache Hadoop, Spark i Flink, što ovu ranjivost čini potencijalno široko rasprostranjenom u infrastrukturama za analizu podataka.
Ranjivost Apache Parquet-Avro-a
Sigurnosna greška se nalazi u modulu parquet-avro, koji je odgovoran za obradu Avro shema ugrađenih u metapodatke Parquet datoteke .
Iako je Apache Parquet 1.15.1 uveo ispravku za ograničavanje nepouzdanih paketa u martu 2025. godine, sigurnosni istraživači su otkrili da su zadane postavke pouzdanih paketa ostale permisivne, i dalje omogućavajući izvršavanje malicioznih klasa iz ovih paketa.
Prema upozorenju koje je objavila Apache Software Foundation, „Parsing šeme u modulu parquet-avro Apache Parquet 1.15.0 i prethodnim verzijama omogućava malicioznim osobama izvršavanje proizvoljnog koda“.
„Iako je verzija 1.15.1 uvela ispravku za ograničavanje nepouzdanih paketa, podrazumijevana postavka pouzdanih paketa i dalje omogućava izvršavanje malicioznih klasa iz tih paketa.“
Eksploatacija posebno cilja aplikacije koje koriste “specifične” ili “reflektujuće” modele za čitanje Parquet datoteka, dok “generički” model ostaje nepromijenjen.
Ova ranjivost je posebno zabrinjavajuća za procese obrade podataka koji mogu unositi Parquet datoteke iz nepouzdanih izvora.
Aplikacije koje koriste Apache Parquet Java modul parquet-avro za deserijalizaciju podataka iz Parquet datoteka su u opasnosti od udaljenog izvršavanja koda ako obrađuju nepouzdane datoteke.
Ranjivost proizilazi iz načina na koji se Avro šeme obrađuju tokom deserijalizacije, što potencijalno omogućava napadačima da ubrizgaju maliciozni kod koji se izvršava tokom parsiranja šeme.
Stručnjaci za sigurnost napominju da ova ranjivost slijedi sličnu grešku deserijalizacije (CVE-2025-30065) otkrivenu u aprilu 2025. godine, koja je također uticala na modul parquet-avro.
Ranjivost su odgovorno prijavili sigurnosni istraživači Andrew Pikler, David Handermann i Nándor Kollár, koji su problem identifikovali kao dio tekućeg sigurnosnog istraživanja ranjivosti serijalizacije.
| Faktori rizika | Detalji |
| Pogođeni proizvodi | Apache Parquet Java do verzije 1.15.1 (posebno modul parquet-avro) |
| Utjecaj | Izvršavanje proizvoljnog koda |
| Preduvjeti za iskorištavanje | – Aplikacija koristi Apache Parquet Java ≤ 1.15.1 – Koristi se modul parquet-avro – “specific” ili “reflect” Avro modeli se namjerno koriste za čitanje Parquet datoteka – Napadač mora dostaviti kreiranu Parquet datoteku sa zlonamjernom Avro shemom |
| CVSS 3.1 rezultat | Kritično |
Organizacijama koje koriste pogođene verzije Apache Parquet Jave se toplo preporučuje da preduzmu hitne mjere.
Tim Apache Parquet je 1. maja 2025. godine objavio verziju 1.15.2, koja u potpunosti rješava ranjivost.
Korisnici imaju dvije preporučene opcije za sanaciju:
- Nadogradite na Apache Parquet Java 1.15.2, koja uključuje sveobuhvatne ispravke za ranjivost.
- Za one koji ne mogu odmah izvršiti nadogradnju, a koriste verziju 1.15.1, postavite sistemsko svojstvo org.apache.parquet.avro.SERIALIZABLE_PACKAGES na prazan niz:
Oba pristupa efikasno ublažavaju ranjivost sprečavanjem izvršavanja malicioznog koda iz pouzdanih paketa.
Organizacije koje koriste Apache Parquet u svojim podatkovnim kanalima trebaju odmah provjeriti svoje sisteme i primijeniti preporučene mjere ublažavanja kako bi spriječile potencijalnu zloupotrebu.
Izvor: CyberSecurityNews