Пользователям Apache Parquet грозит уязвимость критического уровня безопасности: необходимо немедленно установить исправления.

Исследователи утверждают, что в Apache Parquet была обнаружена уязвимость критического уровня. Она позволяла злоумышленникам выполнять произвольный код. Патч был выпущен, и пользователей призывают применить его.

Apache Parquet — это формат хранения данных по столбцам, оптимизированный для эффективного хранения и обработки данных. Он часто используется в задачах big data и аналитики. Среди крупных компаний, которые используют его, можно назвать Amazon, Google, Microsoft и Meta.

Уязвимость была обнаружена 1 апреля 2025 года исследователем безопасности Amazon Ки Ли (Key Li) и получила обозначение CVE-2025-30065. Ее уровень серьезности оценивается как максимальный — 10/10 (критический).

Краткое описание на странице NVD гласит: «Обработка схемы в модуле parquet-avro Apache Parquet версий 1.15.0 и ниже позволяет злоумышленникам выполнять произвольный код».

«Пользователям рекомендуется обновиться до версии 1.15.1, которая исправляет эту проблему».

Проблема, как сообщается, вызвана десериализацией ненадёжных данных, что может позволить злоумышленникам получить контроль над целевыми системами с помощью специально созданных файлов Parquet.

Важно отметить, что жертве необходимо быть обманутой и импортировать файлы, чтобы угроза могла реализоваться. Исследователи считают, что это снижает немедленную опасность уязвимости, несмотря на её высокий балл оценки.

Тем, кто не может немедленно обновить экземпляры Apache Parquet до версии 1.15.1, рекомендуется избегать файлов Parquet из ненадежных источников или, по крайней мере, тщательно анализировать их перед использованием. Кроме того, команды ИТ должны более внимательно отслеживать и регистрировать события в своих системах обработки Parquet.

На момент публикации не было никаких доказательств использования этой уязвимости в реальных атаках. Однако хакеры обычно начинают сканировать системы на предмет уязвимостей сразу после выпуска патча, рассчитывая, что многие организации не установят его своевременно.