Новости компьютерной безопасности:

  Latest News

Apache Parquet Java Vulnerability Let Attackers Execute Arbitrary Code

С сайта: Vulnerability(cybersecuritynews.com)

Apache Parquet Java Vulnerability Let Attackers Execute Arbitrary Code

Author: Guru Baran

A new critical security vulnerability in Apache Parquet Java has been disclosed that could allow attackers to execute arbitrary code through specially crafted Parquet files.

 The vulnerability, tracked as CVE-2025-46762, affects all versions of Apache Parquet Java through 1.15.1.

Apache Parquet is a popular columnar storage file format designed for efficient data storage and retrieval in big data ecosystems. 

It’s widely used with processing frameworks like Apache Hadoop, Spark, and Flink, making this vulnerability potentially widespread in data analytics infrastructures.

Apache Parquet-Avro Vulnerability
The security flaw resides in the parquet-avro module, which is responsible for processing Avro schemas embedded in Parquet file metadata. 

While Apache Parquet 1.15.1 introduced a fix to restrict untrusted packages in March 2025, security researchers discovered that the default setting of trusted packages remained permissive, still allowing malicious classes from these packages to be executed.

According to the advisory released by Apache Software Foundation, “Schema parsing in the parquet-avro module of Apache Parquet 1.15.0 and previous versions allows bad actors to execute arbitrary code”.

“While 1.15.1 introduced a fix to restrict untrusted packages, the default setting of trusted packages still allows malicious classes from these packages to be executed”.

The exploit specifically targets applications that use the “specific” or “reflect” models for reading Parquet files, while the “generic” model remains unaffected. 

This vulnerability is particularly concerning for data processing pipelines that may ingest Parquet files from untrusted sources.

Applications using Apache Parquet Java’s parquet-avro module to deserialize data from Parquet files are at risk of remote code execution if they process untrusted files. 

The vulnerability stems from how Avro schemas are handled during deserialization, potentially allowing attackers to inject malicious code that gets executed during schema parsing.

Security experts note this vulnerability follows a similar deserialization flaw (CVE-2025-30065) discovered in April 2025, which also affected the parquet-avro module.

The vulnerability was responsibly reported by security researchers Andrew Pikler, David Handermann, and Nándor Kollár, who identified the issue as part of ongoing security research into serialization vulnerabilities.

Risk Factors Details Affected ProductsApache Parquet Java through version 1.15.1 (specifically the parquet-avro module)ImpactArbitrary code executionExploit Prerequisites– Application uses Apache Parquet Java ≤ 1.15.1- The parquet-avro module is used- The “specific” or “reflect” Avro models are deliberately used for reading Parquet files- Attacker must supply a crafted Parquet file with a malicious Avro schemaCVSS 3.1 ScoreCritical
Organizations using affected versions of Apache Parquet Java are strongly advised to take immediate action. 

The Apache Parquet team released version 1.15.2 on May 1, 2025, which fully addresses the vulnerability.

Users have two recommended remediation options:

  • Upgrade to Apache Parquet Java 1.15.2, which includes comprehensive fixes for the vulnerability.
  • For those unable to upgrade immediately but running version 1.15.1, set the system property org.apache.parquet.avro.SERIALIZABLE_PACKAGES to an empty string:

cyber security news
Both approaches effectively mitigate the vulnerability by preventing the execution of malicious code from trusted packages.

Organizations using Apache Parquet in their data pipelines should audit their systems immediately and apply the recommended mitigations to prevent potential exploitation.



#Apache #Cyber_Security #Cyber_Security_News #Vulnerability

Оригинальная версия на сайте: Apache Parquet Java Vulnerability Let Attackers Execute Arbitrary Code
Вернуться к списку новостей К свежим новостям Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.

Вернуться к списку новостей Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.


Новости проекта CSN:

✉ CSN.net4me.net

Обновление сайта csn.net4me.net

Обновление сайта csn.net4me.net 💻
cyber security news
  • Физически мы переехали на новый сервер. Благодарим наших подписчиков и постоянных читателей за терпение и понимание.
  • Сайт csn.net4me.net полностью адаптирован для работы по шифрованному SSL соединению.
  • Изменен механизм обработки и отображения опасных и критических уязвимостей.

Благодарим что вы с нами.


#CSN_обновление_сайта
https://csn.net4me.net/cyber_security_8301.html

Дополнительный материал

О проекте CSN

Проект CSN.net4me.net родился 16 Марта 2018 года.
Проект находится в самом начале своего развития. Конечно оформление, наполнение будет меняться. Одно останется неизменным - самые свежие новости компьютерной и сетевой безопасности.

О проекте net4me

Проект net4me.net развивался как сборник готовых решений и документации по темам компьютерной безопасности, сетевых решений и СПО (в часности linux). Темпы развития IT отрасли оказались столь быстрыми, что некоторые знания, технологии и информация о них устаревали мгновенно. Тем не менее, некоторый материал net4me.net до сих пор востребован.

Об источниках

Новости берутся CSN из открытых и доступных каждому источников. Авторы проекта стараются подбирать авторитетные и проверенные источники. Но, тем не менее, не несут ответственности за содержимое новостей. В каждой новости указывается источник этой новости, её автор и ссылка на оригинал новости.

Информация

Если вы желаете чтобы новости вашего ресурса были размещены на сайте CSN, то свяжитесь с авторами проекта csn@net4me.net и предложите ссылку на rss или xml ленту новостей вашего ресурса. Любая предложенная информация будет рассмотрена редакцией.