10 из 10: Apache Parquet содержит опасную брешь в модуле десериализации
Простой документ становится оружием против защищённых дата-центров.
Уязвимость критического уровня была обнаружена в Apache Parquet — открытом формате хранения данных, широко используемом в аналитике и системах обработки больших данных. Проблема получила идентификатор CVE-2025-30065 и оценку 10.0 по шкале CVSS v4, что соответствует максимально возможному уровню опасности. Ошибка устранена в версии Parquet 1.15.1.
Уязвимость связана с небезопасной десериализацией данных в модуле parquet-avro. Это позволяет злоумышленникам внедрить специально подготовленный файл в формате Parquet и добиться удалённого выполнения произвольного кода на целевой системе. При успешной атаке возможно получение контроля над системой, кража и изменение данных, нарушение работы сервисов или внедрение вредоносного ПО, включая программы-вымогатели.
Хотя эксплуатация требует, чтобы кто-то импортировал вредоносный файл, угрозу нельзя недооценивать. Apache Parquet применяется во множестве крупных инфраструктур — от облачных сервисов Amazon, Google и Azure до экосистем Hadoop и Spark. Формат активно используется в дата-лейках, ETL-инструментах и системах аналитики. Среди компаний, работающих с Parquet, — Netflix, Uber, Airbnb и LinkedIn.
Кэйи Ли, исследователь Amazon, первым выявил проблему и передал информацию о ней по программе ответственного раскрытия. Информация об уязвимости была официально опубликована 1 апреля 2025 года. В кратком бюллетене на Openwall указано, что баг затрагивает все версии Parquet до 1.15.0 включительно, начиная как минимум с версии 1.8.0. Уязвимый код позволяет атакующему сформировать схему Avro таким образом, чтобы при её разборе произошло выполнение произвольных инструкций.
В компании Endor Labs подчёркивают , что угроза особенно критична для систем, получающих файлы из внешних источников. Это может быть любой этап цепочки обработки данных: от хранилищ до инструментов аналитики. По мнению аналитиков, важно как можно скорее выяснить, используются ли в продакшене уязвимые версии Parquet, и провести аудит .
Если немедленный переход на безопасную версию невозможен, рекомендуется отказаться от работы с Parquet-файлами из недоверенных источников или обеспечить предварительную валидацию. Также следует усилить журналирование и мониторинг систем, обрабатывающих файлы в этом формате.
Хотя факты активной эксплуатации CVE-2025-30065 пока не зафиксированы, из-за серьёзности уязвимости и широкой распространённости Apache Parquet риск оценивается как высокий. Администраторам настоятельно советуют обновить ПО до версии 1.15.1 без промедления.