Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apache Parquet (CVE-2025-46762)

Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/05/2025
Última modificación:
13/05/2025

Descripción

El análisis de esquemas en el módulo parquet-avro de Apache Parquet 1.15.0 y versiones anteriores permite a actores maliciosos ejecutar código arbitrario. Si bien la versión 1.15.1 introdujo una corrección para restringir los paquetes no confiables, la configuración predeterminada de los paquetes confiables aún permite la ejecución de clases maliciosas de estos paquetes. El exploit solo es aplicable si el código cliente de parquet-avro utiliza deliberadamente los modelos "specific" o "reflect" para leer archivos de Parquet. (El modelo "genérico" no se ve afectado). Se recomienda a los usuarios actualizar a la versión 1.15.2 o configurar la propiedad del sistema "org.apache.parquet.avro.SERIALIZABLE_PACKAGES" con una cadena vacía en la versión 1.15.1. Ambas opciones son suficientes para solucionar el problema.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:parquet:*:*:*:*:*:*:*:* 1.15.2 (excluyendo)