آسیبپذیری حیاتی با شناسه CVE-2025-46762 و امتیاز 9.8 در کتابخانه Apache Parquet Java، امکان اجرای کد از راه دور (RCE) را برای نفوذگران فراهم میسازد.
این آسیبپذیری ماژول parquet-avro را تحت تأثیر قرار میدهد و سیستمها را در معرض خطر اجرای کد دلخواه هنگام پردازش اسکیماهای مخرب Avro که در فرادادههای فایل Parquet تعبیه شدهاند، قرار میدهد. در واقع تجزیه اسکیما در ماژول parquet-avro آپاچی Parquet 1.15.0 و نسخههای قبلی به نفوذگران امکان اجرای کد دلخواه را میدهد. در حالی که 1.15.1 اصلاحیهای برای محدودسازی پکیجهای غیرقابل اعتماد ارائه داد، تنظیم پیشفرض پکیجهای قابل اعتماد همچنان اجازه اجرای کلاسهای مخرب از این پکیجها را میدهد.
اکسپلویت فقط در صورتی قابل اجرا است که کد کلاینت parquet-avro عمداً از مدلهای “specific” یا “reflect” برای خواندن فایلهای Parquet استفاده کند. (مدل “generic” تحت تأثیر قرار نمیگیرد) نقص امنیتی مذکور بر تمامی نسخههای Apache Parquet Java تا نسخه ۱.۱۵.۱ و از جمله آن تأثیر میگذارد. به کاربران توصیه شده است که به نسخه 1.15.2 بهروزرسانی کنند یا ویژگی سیستم “org.apache.parquet.avro.SERIALIZABLE_PACKAGES” را در نسخه 1.15.1 روی یک رشته خالی (empty string) تنظیم کنند. هر دو مورد برای رفع باگ کافی هستند.
https://securityonline.info/cve-2025-46762-apache-parquet-java-flaw-allows-potential-rce-via-avro-schema/
