یک آسیبپذیری حیاتی با شناسه CVE-2025-30065 و امتیاز CVSS 10.0 در کتابخانه جاوای Apache Parquet فاش شده است که اکسپلویت موفقیتآمیز آن، امکان اجرا کد دلخواه را روی نمونههای حساس فراهم میکند.
این اکسپلویت نیازمند فریب سیستم آسیبپذیر برای خواندن یک فایل Parquet ساخته شده ویژه برای به دست آوردن اجرای کد است. Apache Parquet یک فرمت فایل داده ستونی رایگان و منبعباز است که برای پردازش و بازیابی کارآمد دادهها طراحی شده است و از دادههای پیچیده، فشردهسازی با کارایی بالا و طرحهای رمزگذاری پشتیبانی میکند.
این آسیبپذیری میتواند بر pipelineهای داده و سیستمهای تحلیلی که فایلهای Parquet را وارد میکنند، تأثیر بگذارد بهویژه زمانی که از منابع خارجی یا نامعتبر باشند. اگر نفوذگران بتوانند فایل ها را دستکاری کنند، ممکن است آسیبپذیری ایجاد شود. نقص امنیتی مذکور بر تمام نسخههای نرم افزار تا و از جمله 1.15.0 تأثیر میگذارد و در نسخه 1.15.1 برطرف شده است.
https://www.bleepingcomputer.com/news/security/max-severity-rce-flaw-discovered-in-widely-used-apache-parquet
https://thehackernews.com/2025/04/critical-flaw-in-apache-parquet-allows.html
