Una vulnerabilidad crítica ha sido identificada en Apache Parquet Java, una biblioteca ampliamente utilizada para el almacenamiento y procesamiento de datos en entornos de big data. La falla reside en el módulo parquet-avro y permite la ejecución remota de código (RCE) cuando se procesan esquemas Avro maliciosos incrustados en archivos Parquet.
- CVE-2025-46762 (CVSS NA): La vulnerabilidad se origina en el proceso de deserialización de esquemas Avro dentro del módulo parquet-avro. Cuando se utilizan los modelos de datos «specific» o «reflect» para leer archivos Parquet, el sistema puede deserializar objetos de paquetes Java confiables, lo que permite a un atacante ejecutar código arbitrario si logra que el sistema procese un archivo Parquet especialmente diseñado.
Aunque la versión 1.15.1 introdujo restricciones para paquetes no confiables, la configuración predeterminada aún permite la ejecución de clases desde paquetes preaprobados, como java.util.
Productos y versiones afectadas:
- Apache Parquet Java versiones anteriores a 1.15.1 inclusive.
Solución
- Actualizar a la versión 1.15.2 o establecer la propiedad JVM correspondiente.
Recomendaciones:
- Actualizar Apache Parquet Java a la versión 1.15.2 para mitigar la vulnerabilidad.
- Configurar la propiedad del sistema JVM org.apache.parquet.avro.SERIALIZABLE_PACKAGES a una cadena vacía si no es posible actualizar de inmediato.
- Evitar el uso de los modelos de datos «specific» o «reflect» para deserializar esquemas Avro, optando por el modelo «generic» cuando sea posible.
- Implementar controles de seguridad adicionales en las canalizaciones de datos para validar y sanear archivos Parquet provenientes de fuentes no confiables.
Referencias: