Apache基金会在今年3月16日释出了Apache Parquet Java 1.15.1,默默地修补了可用来执行任意程式码、被列为最高严重等级的CVSS 10.0漏洞CVE-2025-30065,影响Apache Parquet 1.15.0及之前的所有版本,该漏洞于今年4月初被披露,4月3日便出现该漏洞的概念性验证程式。
Apache Parquet 为一开源的栏式储存格式(Columnar Storage Format,直式),专门用来在大数据处理框架中储存与查询大量资料,不同于传统的行式储存(Row-based Storage,横式),以栏位为单位更能有效率地压缩及读取特定栏位,被广泛应用在大数据处理及分析平台,包括Hadoop、Spark与Flink等大数据框架,亦有许多客制化应用程式整合了Parquet Java程式码。
软体供应链解决方案供应商Endor Labs指出,CVE-2025-30065被归类为反序列化不受信任的资料(Deserialization of Untrusted Data)漏洞,这类的漏洞可能影响汇入Parquet档案的资料处理流程与分析系统,特别是当这些档案来自外部或不可靠的来源时,若遭骇客窜改,便可能触发漏洞。
倘若骇客能够诱导系统读取恶意Parquet档案,便有机会自远端执行程式码,得以完全掌控系统,窃取或窜改资料,也能植入恶意程式或中断既有服务等。
尽管该漏洞可能带来严重的威胁,但先决条件是系统必须导入来自不可靠来源的Parquet档案。微软认为,此一状况于大多数的生产环境中并不常见,因此于现实世界中遭到利用的可能性并不高。
只是微软也提醒,这并不代表它完全没有风险,一个潜在的途径是开发人员自Stack Overflow或GitHub等社群论坛导入范例 Parquet文件,并无意中于本地机器上执行了恶意程式码。