Se ha revelado una nueva vulnerabilidad de seguridad crítica en Apache Parquet Java, lo que permite a los atacantes ejecutar código arbitrario a través de archivos de parquet especialmente escritos.
La vulnerabilidad rastreada como CVE-2025-46762 afecta todas las versiones de Apache Parquet Java desde 1.15.1.
Apache Parquet es un popular formato de archivo de almacenamiento columnar diseñado para un almacenamiento y recuperación de datos eficientes en el ecosistema de big data.
Esta vulnerabilidad está potencialmente extendida en la infraestructura de análisis de datos, ya que se usa ampliamente en los marcos de procesamiento como Apache Hadoop, Spark y Flink.
Apache Parquet-Avro Vulnerabilidad
La falla de seguridad se encuentra en el módulo Parquet-Avro, que es responsable de manejar el esquema Avro incrustado en los metadatos del archivo Parquet.
Apache Parquet 1.15.1 introdujo una solución que restringe paquetes poco confiables en marzo de 2025, pero los investigadores de seguridad han descubierto que la configuración predeterminada para paquetes de confianza siguen siendo tolerantes y que se pueden ejecutar clases maliciosas de estos paquetes.
Según un aviso publicado por Apache Software Foundation, “Análisis de esquema y versiones anteriores en el módulo Avro de Parquet en Apache Parquet 1.15.0 permiten a los malos actores ejecutar código arbitrario”.
“1.15.1 introdujo una solución que restringe los paquetes no confiables, pero la configuración predeterminada para paquetes confiables permite que se ejecuten clases maliciosas de estos paquetes”.
Explotar específicamente se dirige a aplicaciones que usan modelos “concretos” o “reflexivos” para leer archivos de parquet, pero los modelos “genéricos” no se ven afectados.
Esta vulnerabilidad es particularmente preocupante en las tuberías de procesamiento de datos que pueden ingerir archivos de parquet de fuentes no confiables.
Las aplicaciones que usan el módulo Parquet-Avro en Apache Parquet Java para eliminar los datos de los archivos Parquet existen en riesgo de ejecución de código remoto al procesar archivos no confiables.
Esta vulnerabilidad se debe a cómo se maneja el esquema Avro durante la desintervención, lo que podría permitir que un atacante inyecte un código malicioso que se ejecuta mientras analiza el esquema.
Los expertos en seguridad han declarado que la vulnerabilidad sigue un defecto deuplicado similar (CVE-2025-30065) descubierto en abril de 2025, que también afectó el módulo Parquet-Avro.
La vulnerabilidad fue reportada de manera responsable por los investigadores de seguridad Andrew Pickler, David Handerman y Nandor Koraal.
Los factores de riesgo incluyen ProductAsEpache a través de la versión 1.15.1 (específicamente el módulo Parquet -Avro) APChearbitraryRaryRary ExecutionExtutionExtuutionExPloit Prerecisites – Apache Parquetjava ≤1.15.1 – Archivo con Avro Schemacvss 3.1 Criticador Critical Critical
Las organizaciones que utilizan las versiones influenciadas por Java de Apache Parquet se recomiendan altamente recomendadas para tomar medidas de inmediato.
El equipo de Apache Parquet lanzó la versión 1.15.2 el 1 de mayo de 2025. Esto aborda completamente la vulnerabilidad.
Los usuarios tienen dos opciones recomendadas:
Actualice a Apache Parquet Java 1.15.2. Esto incluye una solución completa para la vulnerabilidad. Si no puede actualizar de inmediato pero no puede ejecutar la versión 1.15.1, configure la propiedad del sistema org.apache.parquet.avro.serializable_packages en una cadena vacía.
Ambos enfoques mitigan de manera efectiva las vulnerabilidades al evitar que la ejecución del código malicioso de los paquetes de confianza.
Las organizaciones que usan Apache Parquet en sus tuberías de datos deben auditar inmediatamente sus sistemas y aplicar mitigaciones recomendadas para evitar una posible explotación.
¡Haz que esta noticia sea interesante! Siga en Google News, LinkedIn, X para obtener actualizaciones instantáneas
