Investigadores de F5 Labs publicaron una herramienta de prueba de concepto (PoC) para explotar una vulnerabilidad crítica en Apache Parquet (CVE-2025-30065), lo que facilita la identificación de servidores expuestos.
Apache Parquet es un formato de almacenamiento en columnas de código abierto, ampliamente usado en plataformas de big data y análisis de datos.
La falla, descubierta por un investigador de Amazon y divulgada el 1 de abril de 2025, afecta a todas las versiones hasta la 1.15.0 y permite ejecución remota de código (RCE) bajo ciertas condiciones.
Detalles técnicos
El fallo reside en el módulo parquet-avro de la biblioteca Java, y se debe a una deserialización insegura que permite instanciar clases Java arbitrarias al leer datos Avro incrustados en archivos Parquet.
Aunque inicialmente se consideró una amenaza crítica, F5 Labs aclara que la explotación práctica es limitada, ya que depende de que la clase instanciada produzca efectos secundarios útiles para un atacante (por ejemplo, hacer una solicitud de red).
Aun así, la amenaza persiste en entornos donde se procesan archivos Parquet desde fuentes externas no verificadas.
Herramienta de detección
La herramienta liberada (disponible en GitHub) simula un ataque disparando una solicitud HTTP GET mediante la clase javax.swing.JEditorKit para ayudar a administradores a verificar si sus sistemas están en riesgo.
Recomendaciones
- Actualizar a Apache Parquet 1.15.1 o superior
- Configurar el parámetro
SERIALIZABLE_PACKAGESpara limitar qué paquetes pueden ser deserializados
A pesar de la baja probabilidad de explotación masiva, esta vulnerabilidad subraya la importancia de aplicar parches y verificar entradas externas en entornos donde se procesan datos complejos.