ГлавнаяБаза уязвимостей БДУ → BDU:2025-05235
9критическая

BDU:2025-05235

Уязвимость модуля parquet-avro библиотеки Apache Parquet Java, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2025-05-05
Описание

Уязвимость модуля parquet-avro библиотеки Apache Parquet Java связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код при обработке схем Avro

Затрагиваемое ПО и версии
Parquet Java (до 1.15.2)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение списка используемых пакетов при десериализации схем Avro, указанных в системном свойстве «org.apache.parquet.avro.SERIALIZABLE_PACKAGES»;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимости;
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости.

Использование рекомендаций:
https://lists.apache.org/thread/vr1h7dnr4jp2f1xhzzkwzcw49qgfgsyl

Оценка CVSS
Балл9 — критическая опасность
Источники и патчи
https://lists.apache.org/thread/vr1h7dnr4jp2f1xhzzkwzcw49qgfgsylhttps://seclists.org/oss-sec/2025/q2/103
Проверьте безопасность своего сайта и почты → Полная проверка домена