Lỗ hổng nghiêm trọng trong Apache Parquet Java, "mở đường" thực thi mã tùy ý

[WhiteHat Team]

Phát hiện lỗ hổng bảo mật nghiêm trọng trong thư viện Apache Parquet Java, đặc biệt là module parquet-avro, mang tên CVE-2025-46762. Lỗ hổng này cho phép kẻ tấn công thực thi mã tùy ý khi xử lý các tệp Parquet chứa Avro schema độc hại.

Apache Parquet là một định dạng tập tin theo cột, cung cấp khả năng nén dữ liệu hiệu quả và các sơ đồ mã hóa (encoding scheme), khiến nó trở thành thành phần cốt lõi trong hệ sinh thái dữ liệu lớn. Nó được sử dụng mạnh mẽ bởi các framework như Apache Spark, Hive và Flink và được hỗ trợ trên nhiều ngôn ngữ lập trình, bao gồm Java, Python và C++.

Lỗi này ảnh hưởng đến tất cả các phiên bản Apache Parquet Java từ trước cho đến và bao gồm cả phiên bản 1.15.1.

Chi tiết lỗ hổng:

1. Phạm vi ảnh hưởng: Tất cả các phiên bản Apache Parquet Java đến 1.15.1.
2. Nguyên nhân: Khi sử dụng mô hình deserialization "specific" hoặc "reflect", hệ thống có thể giải mã các đối tượng từ các gói Java đáng tin cậy, tạo điều kiện cho việc thực thi mã độc.
3. Điều kiện khai thác:
   • Ứng dụng sử dụng mô-đun parquet-avro để đọc tệp Parquet
   • Sử dụng mô hình deserialization "specific" hoặc "reflect"
   • Xử lý các tệp Parquet từ nguồn không đáng tin cậy

Nếu cả ba điều kiện khai thác trên đều được đáp ứng, một tập tin Parquet được chế tạo đặc biệt có thể bao gồm một lược đồ Avro độc hại, dẫn đến thực thi mã trái phép trong quá trình phân tích lược đồ.

Apache khuyến nghị người dùng hai hướng khắc phục:

1. Nâng cấp lên Apache Parquet Java 1.15.2, phiên bản này đã thiết lập cấu hình mặc định an toàn hơn, ngăn chặn việc thực thi từ các package tin cậy nhưng có thể nguy hiểm.
2. Đối với người dùng phiên bản trên 1.15.1, có thể thiết lập thuộc tính hệ thống sau để vô hiệu hóa danh sách gói được phép:
   
   org.apache.parquet.avro.SERIALIZABLE_PACKAGES=" "

Theo Security Online​