h3st4k3r/CVE-2025-30065

GitHub: h3st4k3r/CVE-2025-30065

针对 Apache Parquet Avro schema 反序列化 RCE 漏洞(CVE-2025-30065)的 Java 概念验证工具,供安全研究者在受控环境中复现和分析该漏洞。

Stars: 7 | Forks: 2

# CVE-2025-30065 研究笔记 [![状态](https://img.shields.io/badge/status-authorized%20lab%20research-F7D118)](./SECURITY.md) [![许可证](https://img.shields.io/badge/license-MIT-001538)](./LICENSE) [![语言](https://img.shields.io/badge/language-Java-284674)](./LICENSE) [![安全性](https://img.shields.io/badge/security-responsible%20disclosure-001538)](./SECURITY.md) 本代码库特意保持小巧且易读。其旨在用于 CVE-2025-30065(位于 Apache Parquet / Avro schema 处理中)的授权安全研究、本地验证和防御性研究。 本 README 侧重于代码库规范、构建可重复性以及安全使用。它不提供实际的漏洞利用指导。 ## 代码库内容 - 一个基于 Java 的研究工具。 - 一小部分用于在受控实验室中研究该漏洞的源文件。 - 一个 Maven 构建定义。 - 一个用于在本地编译和运行项目的辅助脚本。 ## 前置条件 - Java 8 或更高版本。 - Maven。 - 一个由您拥有或获得明确授权使用的受控测试环境。 ## 构建和运行 ``` chmod +x run.sh ./run.sh ``` 如果您希望手动运行构建: ``` mvn clean package ``` ## 安全注意事项 - 仅在您拥有明确许可的系统中使用此代码库。 - 保持环境与生产系统和第三方网络隔离。 - 如果您正在验证修复程序,请首先验证已修补的依赖版本和您的 classpath 控制。 ## 文档风格 本代码库使用简单的英语进行记录,包含简短的章节、清晰的标题和尽可能少的杂乱内容。 ## 维护者 - h3st4k3r ## 许可证 请参阅 [LICENSE](./LICENSE)。 ## 安全性 有关负责任的披露和联系指导,请参阅 [SECURITY.md](./SECURITY.md)。 ## 致谢 感谢: - **@micrictor**,强调了概念性 schema 注入与实际补丁逻辑之间的差异。 - **Mouad Kondah**,提供了遵循正确构造函数路径的公开 PoC。 - **F5 Labs**,记录了现实世界中的影响并提供了强大的公众可见度。 - 所有通过讨论和负责任的披露做出贡献的人。 ## 给审查者的说明 此代码旨在用于防御性研究,而不是为了广泛分发或实际重用。如果您在比较补丁前后的行为,请将验证限制在实验室环境中,并记录您的测试条件。
标签:Go语言工具, JS文件枚举, Maven, PoC, 反序列化, 域名枚举, 暴力破解, 漏洞验证