CVE-2025-30065 (CVSS 10): Critical Vulnerability Discovered in Apache Parquet Java
2025/04/02 SecurityOnline — 広く使用されている OSS のカラム指向データファイル形式である Apache Parquet に、深刻なセキュリティ脆弱性が存在することが判明した。この脆弱性は、Apache Parquet Java ライブラリを使用するシステムに対して、深刻なリスクをもたらす。
Apache Parquet は、効率的なデータの取得/保存を目的として設計されている。高性能な圧縮およびエンコード方式で知られており、複雑なデータを一括で処理するケースに適している。また、多数のプログラミング言語と分析ツールをサポートするため、広く採用されている。
Apache Parquet Java ライブラリに存在する脆弱性 CVE-2025-30065 の、CVSS スコアは 10.0 となっている。
CVE-2025-30065:Apache Parquet Java の任意のコード実行
この脆弱性は、parquet-avro モジュール内に存在しする。 Parquet ファイルのメタデータから、Avro スキーマを読み取る際に、任意のコード実行が可能となる。簡単に言うと、攻撃者が Parquet ファイルを作成し、Apache Parquet Java ライブラリの脆弱なバージョンで処理すると、システム上で任意のコードが実行される。
影響を受ける Apache Parquet Java のバージョンは、以下のとおりである:
Apache Parquet Java 1.15.0 以下
システム上での任意のコード実行が達成されてしまうと、深刻な結果を招く可能性が生じる。攻撃者は、以下のようなアクションを可能にする:
- 影響を受けるシステムの完全な制御
- 機密データの窃取
- マルウェアのインストール
- サービスの妨害
Apache Parquet Java のユーザーに対して、強く推奨されるのは、バージョン 1.15.1 へと向けた速やかなアップグレードである。この バージョン 1.15.1 には、脆弱性 CVE-2025-30065 に対処する、修正が取り込まれている。
このブログでは初登場の Apache Parquetなので、Wikipedia で調べてみたところ「Apache Hadoopエコシステムにおける OSS カラム指向データ・ストレージ・フォーマットである。Hadoop における、他のカラム指向ストレージ・ファイル・ファイルである RCFile/ORC に類似しており、Hadoop 関連の大半のデータ処理フレームワークと互換性がある。複雑なデータを一括処理するための、効率的なデータ圧縮およびエンコード方式と、強化されたパフォーマンスを提供する」と解説されていました。このようなハイケを持つ Parquet であれば、さまざまなシステムのインフラとして活用されているのでしょう。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.