Se ha publicado públicamente una herramienta para explotar el concepto para una vulnerabilidad máxima de Apache Parquet, seguida como CVE-2025-30065, que facilita la búsqueda de servidores vulnerables.
La herramienta fue publicada por investigadores de F5 Labs que estudiaron vulnerabilidad después de descubrir que varios POC existentes eran bajos o completamente no funcionales.
La herramienta sirve como prueba de la explotabilidad práctica del CVE-2025-30065 y también puede ayudar a los administradores a evaluar sus entornos y asegurar servidores.
Apache Parquet es un formato de almacenamiento en una crónica de código abierto diseñado para un procesamiento de datos efectivo, ampliamente utilizado por plataformas y organizaciones de Big Data que participan en ingeniería y análisis de datos.
El defecto fue revelado por primera vez el 1 de abril de 2025, luego de un descubrimiento anterior por el investigador de Amazon, Keyi Li. Se clasificó como una ejecución de código remoto que impacta todas las versiones de Apache Parquet hasta 1.15.0.
Desde un punto de vista técnico, CVE-2025-30065 es un defecto en la de-eedérialización en el módulo Parquet-Avro de Apache Parquet Java, donde la biblioteca no restringe las clases de Java que se pueden instanciar cuando se lee datos AVR integrados en archivos de parquet.
El 2 de abril de 2025, Endor Labs publicó una advertencia de redacción de riesgos operativos y su impacto potencial en los sistemas que importan archivos de parquet desde puntos externos.
El análisis posterior de los laboratorios F5 muestra que el defecto no es un CRDC de total de desialización, sino que siempre se puede usar en UNLIXED si una clase tiene efectos secundarios durante la instancia, como durante la solicitud de red del sistema vulnerable a un servidor controlado por el atacante.
Sin embargo, los investigadores han concluido que la explotación práctica es difícil y CVE-2025-30065 tiene un valor limitado a los atacantes.
“Aunque Parquet y Avro son ampliamente utilizados, esta pregunta requiere un conjunto específico de circunstancias que no es tan probable en general”, “,”, “,”, “,”, “,”, “,”. Lee el informe de F5 Labs.
“Incluso entonces, este CVE solo permite a los atacantes desencadenar la instanciación de un objeto Java que luego debe tener un efecto secundario útil para el atacante”.
A pesar de la baja probabilidad de explotación, los investigadores admiten que ciertas organizaciones tratan los archivos de parquet de fuentes externas y, a menudo, no deseadas, y por lo tanto el riesgo es significativo en ciertos entornos.
Por esta razón, F5 Labs ha creado una herramienta “CANARIA” (Disponible en Github) que desencadena una solicitud de HTTP a través de la instanciación de javax.swing.Jetitorkit, permitiendo a los usuarios verificar la exposición.
Además de usar la herramienta, se recomienda ir a Apache Parquet versión 15.1.1 o posterior, y configurar ‘org.apache.pachequet.avro.serializable_packages’ para restringir los paquetes autorizados para la desialización.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.