Обнаружена уязвимость максимальной серьезности для удаленного выполнения кода (RCE), затрагивающая все версии Apache Parquet вплоть до 1.15.0 включительно.
Проблема возникает из-за десериализации ненадёжных данных, которая может позволить злоумышленникам с помощью специально созданных файлов Parquet получить контроль над целевыми системами, похитить или изменить данные, нарушить работу сервисов или внедрить опасные программы, например программы-вымогатели.
Уязвимость отслеживается по коду CVE-2025-30065 и имеет рейтинг CVSS v4 10,0. Ошибка была устранена в версии Apache 1.15.1.
Следует отметить, что для использования этой уязвимости злоумышленники должны убедить кого-то импортировать специально созданный файл Parquet.
Серьезная угроза для сред «больших данных»
Apache Parquet — это формат хранения данных в виде столбцов с открытым исходным кодом, предназначенный для эффективной обработки данных. В отличие от форматов на основе строк (например, CSV), Parquet хранит данные по столбцам, что делает его более быстрым и экономичным для аналитических задач.
Он широко используется в экосистеме обработки и анализа данных, включая платформы больших данных, такие как Hadoop, AWS, Amazon, Google и облачные сервисы Azure, хранилища данных и инструменты ETL.
Среди крупных компаний, использующих Parquet, — Netflix, Uber, Airbnb и LinkedIn.
Проблема безопасности в Parquet была обнаружена 1 апреля 2025 года после ответственного раскрытия информации её первооткрывателем, исследователем Amazon Кейи Ли.
«Разбор схемы в модуле parquet-avro Apache Parquet 1.15.0 и предыдущих версиях позволяет злоумышленникам выполнять произвольный код», — говорится в коротком сообщении, опубликованном на Openwall.
«Пользователям рекомендуется обновиться до версии 1.15.1, которая устраняет эту проблему».
В отдельном бюллетене Endor Labs более подробно рассматривается риск использования уязвимости CVE-2025-30065. В нём говорится, что уязвимость может повлиять на любые конвейеры данных и аналитические системы, импортирующие файлы Parquet, причём риск особенно высок для файлов, полученных из внешних источников.
Компания Endor Labs считает, что проблема возникла в Parquet версии 1.8.0, хотя она может быть связана и со старыми версиями. Компания предлагает провести скоординированную проверку с разработчиками и поставщиками, чтобы определить, какие версии Praquet используются в производственных стеках программного обеспечения.
«Если злоумышленник обманом заставит уязвимую систему прочитать специально созданный файл Parquet, он сможет получить доступ к удалённому выполнению кода (RCE) в этой системе», предупреждает Endor Labs.
Однако компания по обеспечению безопасности не преувеличивает риск, добавляя примечание: «Несмотря на пугающий потенциал, важно отметить, что уязвимостью можно воспользоваться только в том случае, если будет импортирован вредоносный файл Parquet».
Тем не менее, если немедленное обновление до Apache Parquet 1.15.1 невозможно, рекомендуется избегать ненадёжных файлов Parquet или тщательно проверять их безопасность перед обработкой. Кроме того, следует усилить мониторинг и ведение журналов в системах, обрабатывающих файлы Parquet.
Хотя случаев активного использования уязвимости пока не выявлено, риск высок из-за серьёзности уязвимости и широкого распространения файлов Parquet в приложениях для работы с большими данными.
Администраторам затронутых систем рекомендуется как можно скорее обновить Parquet до версии 1.15.1, которая устраняет уязвимость CVE-2025-30065.