h3st4k3r/CVE-2025-30065
GitHub: h3st4k3r/CVE-2025-30065
针对 Apache Parquet Avro schema 反序列化 RCE 漏洞(CVE-2025-30065)的 Java 概念验证工具,供安全研究者在受控环境中复现和分析该漏洞。
Stars: 7 | Forks: 2
# CVE-2025-30065 研究笔记
[](./SECURITY.md)
[](./LICENSE)
[](./LICENSE)
[](./SECURITY.md)
本代码库特意保持小巧且易读。其旨在用于 CVE-2025-30065(位于 Apache Parquet / Avro schema 处理中)的授权安全研究、本地验证和防御性研究。
本 README 侧重于代码库规范、构建可重复性以及安全使用。它不提供实际的漏洞利用指导。
## 代码库内容
- 一个基于 Java 的研究工具。
- 一小部分用于在受控实验室中研究该漏洞的源文件。
- 一个 Maven 构建定义。
- 一个用于在本地编译和运行项目的辅助脚本。
## 前置条件
- Java 8 或更高版本。
- Maven。
- 一个由您拥有或获得明确授权使用的受控测试环境。
## 构建和运行
```
chmod +x run.sh
./run.sh
```
如果您希望手动运行构建:
```
mvn clean package
```
## 安全注意事项
- 仅在您拥有明确许可的系统中使用此代码库。
- 保持环境与生产系统和第三方网络隔离。
- 如果您正在验证修复程序,请首先验证已修补的依赖版本和您的 classpath 控制。
## 文档风格
本代码库使用简单的英语进行记录,包含简短的章节、清晰的标题和尽可能少的杂乱内容。
## 维护者
- h3st4k3r
## 许可证
请参阅 [LICENSE](./LICENSE)。
## 安全性
有关负责任的披露和联系指导,请参阅 [SECURITY.md](./SECURITY.md)。
## 致谢
感谢:
- **@micrictor**,强调了概念性 schema 注入与实际补丁逻辑之间的差异。
- **Mouad Kondah**,提供了遵循正确构造函数路径的公开 PoC。
- **F5 Labs**,记录了现实世界中的影响并提供了强大的公众可见度。
- 所有通过讨论和负责任的披露做出贡献的人。
## 给审查者的说明
此代码旨在用于防御性研究,而不是为了广泛分发或实际重用。如果您在比较补丁前后的行为,请将验证限制在实验室环境中,并记录您的测试条件。
标签:Go语言工具, JS文件枚举, Maven, PoC, 反序列化, 域名枚举, 暴力破解, 漏洞验证