Vulnerabilidad en Apache Parquet (CVE-2025-46762)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/05/2025
Última modificación:
13/05/2025
Descripción
El análisis de esquemas en el módulo parquet-avro de Apache Parquet 1.15.0 y versiones anteriores permite a actores maliciosos ejecutar código arbitrario. Si bien la versión 1.15.1 introdujo una corrección para restringir los paquetes no confiables, la configuración predeterminada de los paquetes confiables aún permite la ejecución de clases maliciosas de estos paquetes. El exploit solo es aplicable si el código cliente de parquet-avro utiliza deliberadamente los modelos "specific" o "reflect" para leer archivos de Parquet. (El modelo "genérico" no se ve afectado). Se recomienda a los usuarios actualizar a la versión 1.15.2 o configurar la propiedad del sistema "org.apache.parquet.avro.SERIALIZABLE_PACKAGES" con una cadena vacía en la versión 1.15.1. Ambas opciones son suficientes para solucionar el problema.
Impacto
Puntuación base 4.0
7.10
Gravedad 4.0
ALTA
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:apache:parquet:*:*:*:*:*:*:*:* | 1.15.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página