یک آسیبپذیری در کتابخانه Apache Parquet Java شناسایی شده که میتواند سیستمها را در معرض حملات اجرای کد از راه دور (Remote Code Execution – RCE) قرار دهد. این نقص امنیتی که توسط Gang Wu، از مشارکتکنندگان Apache Parquet کشف شده، با شناسه CVE-2025-46762 در ماژول parquet-avro قرار دارد و در تاریخ ۲ مه بهصورت عمومی افشا شده است.
این مشکل امنیتی تمام نسخههای Apache Parquet Java تا نسخه ۱.۱۵.۱ (شامل آن) را تحت تأثیر قرار میدهد و به مهاجمان مخرب اجازه میدهد تا کد دلخواه خود را روی سیستمهای آسیبپذیر اجرا کنند.
جزئیات فنی CVE-2025-46762
هستهی این آسیبپذیری، فرآیند ناامن تجزیهی اسکیما (Schema Parsing) درون ماژول parquet-avro است. این نقص به مهاجمان امکان میدهد تا کد مخرب را در متادیتای یک فایل Parquet جاسازی کنند، بهطور خاص در بخش Avro schema. زمانیکه یک سیستم آسیبپذیر این فایل را بارگذاری میکند، کد مخرب بهطور خودکار اجرا میشود که به اجرای کد از راه دور منجر میگردد.
در سیستمهایی که از مدلهای دادهای “specific” یا “reflect” استفاده میکنند (در مقایسه با مدل امنتر “generic”)، این خطر شدیدتر است. در حالیکه مدل “generic” از این آسیبپذیری در امان است، تنظیمات پیشفرض بستههای مورد اعتماد همچنان میتواند مسیرهایی برای اجرای کد باقی بگذارد، بهویژه از طریق بستههای جاوایی از پیش مجاز شده مانند java.util.
سیستمهای آسیبپذیر و دامنه تهدید
تأثیر آسیبپذیری CVE-2025-46762 تمام نسخههای Apache Parquet Java تا نسخه ۱.۱۵.۱ را در بر میگیرد. طیف وسیعی از نرمافزارها، بهویژه آنهایی که از ماژول parquet-avro در چارچوبهای کلاندادهای مانند Apache Spark، Hadoop و Flink بهره میبرند، در معرض خطر هستند. این پلتفرمها از ماژول مذکور برای فرآیندهای deserialize و تجزیهی اسکیما استفاده میکنند و در صورت پردازش فایلهای Parquet با دادههای مخرب در Avro schema، سطح حمله باز میشود.
برای سازمانهایی که مدیریت خطوط پردازش داده را بر عهده دارند، بهویژه در اکوسیستمهای کلاندادهای، این تهدید بسیار جدی است. اگر سیستمها بهروزرسانی نشوند، مهاجم میتواند فایلهای مخرب Parquet را وارد جریان داده کرده و از طریق آسیبپذیریهای پشتیبان آنها را بهرهبرداری کند.
راهکارهای کاهش تهدید
بنیاد نرمافزار Apache از تمام کاربران خواسته تا فوراً این آسیبپذیری را برطرف کنند. دو راهکار اصلی برای مقابله وجود دارد:
-
بهروزرسانی به نسخه Apache Parquet Java 1.15.2: این نسخه بهطور کامل این مشکل را رفع میکند، مرزهای بستههای مورد اعتماد را محدودتر کرده و از اجرای کد مخرب از طریق تنظیمات فعلی جلوگیری میکند.
-
راهکار موقت برای نسخه ۱.۱۵.۱: برای کسانی که نمیتوانند فوراً بهروزرسانی کنند، توصیه میشود ویژگی
-Dorg.apache.parquet.avro.SERIALIZABLE_PACKAGES=""را بهصورت خالی در JVM تعریف کنند. این کار اجرای کد از بستههای مشکوک را مسدود میسازد.
همچنین به سازمانها توصیه میشود خطلولههای داده خود را بازبینی کرده و مدل امنتر Avro Generic را جایگزین کنند، چرا که این مدل تحت تأثیر آسیبپذیری قرار ندارد. استفاده از این مدل در هرجایی که ممکن است، میتواند خطر حملات RCE از طریق CVE-2025-46762 را کاهش دهد.
سیستمهایی که وصله نشدهاند، نهتنها در معرض حملات مستقیم هستند، بلکه میتوانند هدف حملات زنجیره تأمین نیز قرار گیرند. در چنین مواردی، فایلهای Parquet مخرب میتوانند اجرای پنهانی کد در بخش پشتیبان را فعال کرده و منجر به اختلالات گسترده در سیستم شوند.
کارشناسان امنیت نسبت به خطر شدید اجرای کد از راه دور (RCE) هشدار دادهاند، که میتواند به نشت اطلاعات، دسترسی غیرمجاز و سایر فعالیتهای مخرب منجر شود. با توجه به ماهیت این آسیبپذیری و تأثیر آن بر محیطهای بزرگ داده، اقدام سریع امری حیاتی است.
کاربران Apache Parquet Java تا نسخه ۱.۱۵.۱ بهشدت توصیه میشود که به نسخه ۱.۱۵.۲ ارتقاء دهند یا وصلههای موقت را اعمال کنند تا از سیستمهای خود در برابر بهرهبرداری محافظت کنند.
یک نظر