В Apache Parquet обнаружена серьезная ошибка, позволяющая злоумышленникам удаленно выполнять произвольный код с использованием специально сформированного файла.
Apache Parquet представляет собой бесплатный и открытый столбцовый формат данных, разработанный для эффективной обработки и быстрого извлечения информации, поддерживающий сложные структуры, высокопроизводительное сжатие и современные схемы кодирования. Проект был запущен в 2013 году.
Уязвимость затрагивает модуль parquet-avro в Java-библиотеке Apache Parquet, затрагивая версию 1.15.0 и все предыдущие релизы. Как говорится в сообщении, «Парсинг схемы в модуле parquet-avro Apache Parquet 1.15.0 и предыдущих версий позволяет злоумышленникам выполнять произвольный код», что отражает максимальную опасность проблемы (CVSS 10.0).
Для эксплуатации багу необходимо, чтобы атакующий обманом заставил уязвимую систему обработать специально подготовленный Parquet файл, что особенно опасно для систем обработки данных и аналитических платформ, импортирующих файлы из внешних или недоверенных источников.
Проблема устранена в версии 1.15.1, а её обнаружение и сообщение о ней приписывают Keyi Li из Amazon.
На данный момент не зафиксировано фактов эксплуатации данной уязвимости, однако проекты Apache регулярно привлекают внимание киберпреступников, что требует постоянного мониторинга и обновления систем.
Недавно был зафиксирован инцидент с Apache Tomcat — обнаруженная уязвимость CVE-2025-24813 с оценкой CVSS 9.8 начала эксплуатироваться в течение 30 часов после публичного раскрытия в прошлом месяце.
Атака на Apache Tomcat проводилась с использованием легко подбираемых учетных данных, а зашифрованные полезные нагрузки, предназначенные для кражи SSH-учетных данных, использовались для горизонтального перемещения по сети и захвата системных ресурсов с целью нелегальной добычи криптовалюты. Дополнительно, вредоносный код функционировал как Java-веб-оболочка, позволяющая выполнять произвольный Java-код, при этом проверяя наличие прав root и оптимизируя использование процессора для повышения эффективности криптодобычи.
По имеющимся данным, вероятным автором атаки выступает киберпреступник, владеющий китайским языком, что подтверждается обнаруженными китайскими комментариями в исходном коде, а Assaf Morag, директор отдела разведки угроз в компании Aqua, отметил высокую функциональность и агрессивную природу вредоносного программного обеспечения.
Изображение носит иллюстративный характер
Apache Parquet представляет собой бесплатный и открытый столбцовый формат данных, разработанный для эффективной обработки и быстрого извлечения информации, поддерживающий сложные структуры, высокопроизводительное сжатие и современные схемы кодирования. Проект был запущен в 2013 году.
Уязвимость затрагивает модуль parquet-avro в Java-библиотеке Apache Parquet, затрагивая версию 1.15.0 и все предыдущие релизы. Как говорится в сообщении, «Парсинг схемы в модуле parquet-avro Apache Parquet 1.15.0 и предыдущих версий позволяет злоумышленникам выполнять произвольный код», что отражает максимальную опасность проблемы (CVSS 10.0).
Для эксплуатации багу необходимо, чтобы атакующий обманом заставил уязвимую систему обработать специально подготовленный Parquet файл, что особенно опасно для систем обработки данных и аналитических платформ, импортирующих файлы из внешних или недоверенных источников.
Проблема устранена в версии 1.15.1, а её обнаружение и сообщение о ней приписывают Keyi Li из Amazon.
На данный момент не зафиксировано фактов эксплуатации данной уязвимости, однако проекты Apache регулярно привлекают внимание киберпреступников, что требует постоянного мониторинга и обновления систем.
Недавно был зафиксирован инцидент с Apache Tomcat — обнаруженная уязвимость CVE-2025-24813 с оценкой CVSS 9.8 начала эксплуатироваться в течение 30 часов после публичного раскрытия в прошлом месяце.
Атака на Apache Tomcat проводилась с использованием легко подбираемых учетных данных, а зашифрованные полезные нагрузки, предназначенные для кражи SSH-учетных данных, использовались для горизонтального перемещения по сети и захвата системных ресурсов с целью нелегальной добычи криптовалюты. Дополнительно, вредоносный код функционировал как Java-веб-оболочка, позволяющая выполнять произвольный Java-код, при этом проверяя наличие прав root и оптимизируя использование процессора для повышения эффективности криптодобычи.
По имеющимся данным, вероятным автором атаки выступает киберпреступник, владеющий китайским языком, что подтверждается обнаруженными китайскими комментариями в исходном коде, а Assaf Morag, директор отдела разведки угроз в компании Aqua, отметил высокую функциональность и агрессивную природу вредоносного программного обеспечения.
