آسیبپذیری بحرانی با شناسهی CVE-2025-30065 در ماژول parquet-avro کتابخانهی جاوای Apache Parquet با شدت بحرانی (10.0) شناسایی شده است که به مهاجمان اجازه میدهد با ارائهی فایلهای Parquet مخرب، کد دلخواه را روی سیستمهای هدف اجرا کنند. این نقص ناشی از deserialization دادههای غیرقابل اعتماد است و میتواند به سرقت یا تغییر دادهها، اختلال در خدمات یا نصب بدافزار منجر شود.
جزئیات آسیبپذیری
بر اساس بردار حملهی CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H، این آسیبپذیری از طریق شبکهی خارجی و از راه دور قابل بهرهبرداری است (AV:N). پیچیدگی حمله پایین است و نیازی به مهارتهای خاص ندارد (AC:L). مهاجم به هیچگونه دسترسی یا احراز هویت نیاز ندارد (PR:N) و میتواند بدون تعامل کاربر حمله را انجام دهد (UI:N). تأثیر این آسیبپذیری به یک سیستم محدود است و بر دیگر منابع امنیتی اثر نمیگذارد (S:U). در صورت بهرهبرداری موفق، اطلاعات حساس ممکن است فاش شوند (VC:H)، دادهها ممکن است تغییر یابند (VI:H) و سیستم ممکن است غیرقابل دسترس شود (VA:H).
محصولات تحت تأثیر
- نسخههای آسیبپذیر: Apache Parquet Java: تمامی نسخهها تا قبل از 1.15.1
- نسخههای وصلهشده: Apache Parquet Java 1.15.1 و بالاتر
توصیههای امنیتی
برای رفع این آسیبپذیری و جلوگیری از سوءاستفادهی مهاجمان، اقدامات زیر ضروری است:
- هرچه سریعتر Apache Parquet Java به نسخهی 1.15.1 یا بالاتر ارتقا داده شود.
- تا زمان بهروزرسانی، از پردازش فایلهای Parquet دریافتی از منابع نامعتبر یا ناشناس خودداری شود.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2025-30065
[2]https://www.bleepingcomputer.com/news/security/max-severity-rce-flaw-discovered-in-widely-used-apac…
- 76