摘要：Apache基金会在今年3月16日发布了Apache Parquet Java 1.15.1，默默地修补了可用来执行任意程序代码、被列为最高严重等级的CVSS 10.0漏洞CVE-2025-30065，影响Apache Parquet 1.15.0及之前的所有

Apache基金会在今年3月16日发布了Apache Parquet Java 1.15.1，默默地修补了可用来执行任意程序代码、被列为最高严重等级的CVSS 10.0漏洞CVE-2025-30065，影响Apache Parquet 1.15.0及之前的所有版本，该漏洞于今年4月初被披露，4月3日便出现该漏洞的概念性验证程序。

Apache Parquet为一开源的栏式存储格式（Columnar Storage Format，直式），专门用来在大数据处理框架中存储与查询大量数据，不同于传统的行式存储（Row-based Storage，横式），以字段为单位更能有效率地压缩及读取特定字段，被广泛应用在大数据处理及分析平台，包括Hadoop、Spark与Flink等大数据框架，也有许多定制化应用程序集成了Parquet Java程序代码。

软件供应链解决方案供应商Endor Labs指出，CVE-2025-30065被归类为反串行化不受信任的数据（Deserialization of Untrusted Data）漏洞，这类的漏洞可能影响导入Parquet文件的数据处理流程与分析系统，特别是当这些文件来自外部或不可靠的来源时，若遭黑客篡改，便可能触发漏洞。

倘若黑客能够诱导系统读取恶意Parquet文件，便有机会自远程执行程序代码，得以完全掌控系统，窃取或篡改数据，也能植入恶意程序或中断既有服务等。

尽管该漏洞可能带来严重的威胁，但先决条件是系统必须导入来自不可靠来源的Parquet文件。微软认为，该状况于大多数的生产环境中并不常见，因此于现实世界中遭到利用的可能性并不高。

只是微软也提醒，这并不代表它完全没有风险，一个潜在的途径是开发人员自Stack Overflow或GitHub等社交媒体论坛导入范例Parquet文件，并无意中于本地机器上执行了恶意程序代码。

来源：小盒论科技