Uma ferramenta de exploração do tipo proof-of-concept foi disponibilizada publicamente para uma vulnerabilidade de gravidade máxima no Apache Parquet, identificada como
CVE-2025-30065
, facilitando a identificação de servidores vulneráveis.
A ferramenta foi divulgada por pesquisadores da F5 Labs, que investigaram a vulnerabilidade após constatarem que múltiplas PoCs existentes eram fracas ou completamente não funcionais.
A ferramenta serve como prova da explorabilidade prática do
CVE-2025-30065
e também pode ajudar os administradores a avaliar seus ambientes e proteger os servidores.
O Apache Parquet é um formato de armazenamento colunar, open-source, projetado para o processamento eficiente de dados, amplamente utilizado por plataformas de big data e organizações envolvidas em engenharia e análise de dados.
A falha foi divulgada pela primeira vez em 1º de abril de 2025, após uma descoberta anterior pelo pesquisador da Amazon, Keyi Li.
Foi categorizada como uma execução de código remoto impactando todas as versões do Apache Parquet até e incluindo a 1.15.0.
Do ponto de vista técnico, o
CVE-2025-30065
é uma falha de deserialização no módulo parquet-avro do Apache Parquet Java, onde a biblioteca falha em restringir quais classes Java podem ser instanciadas ao ler dados Avro incorporados em arquivos Parquet.
Em 2 de abril de 2025, a Endor Labs publicou um artigo alertando sobre o risco de exploração e seu possível impacto em sistemas que importam arquivos Parquet de pontos externos.
Análises subsequentes da F5 Labs mostram que a falha não é um RCE de deserialização completa, mas ainda pode ser mal utilizada se uma classe tiver efeitos colaterais durante a instanciação, como ao fazer uma solicitação de rede do sistema vulnerável para um servidor controlado por um atacante.
No entanto, os pesquisadores concluíram que a exploração prática é difícil, e o
CVE-2025-30065
tem valor limitado para os atacantes.
"Embora o Parquet e o Avro sejam amplamente utilizados, essa questão requer um conjunto específico de circunstâncias que não é tão provável de ocorrer no geral", diz o relatório da F5 Labs.
Mesmo assim, esse CVE apenas permite que os atacantes disparem a instanciação de um objeto Java que então deve ter um efeito colateral que seja útil para o atacante.
Apesar da baixa probabilidade de exploração, os pesquisadores admitem que algumas organizações processam arquivos Parquet de fontes externas, muitas vezes não verificadas, e, portanto, o risco é significativo em alguns ambientes.
Por essa razão, a F5 Labs criou uma ferramenta de "exploit canário" (disponível no GitHub) que dispara uma solicitação HTTP GET via instanciação de javax.swing.JEditorKit, permitindo que os usuários verifiquem a exposição.
Além de usar a ferramenta, é recomendado atualizar para a versão 15.1.1 do Apache Parquet ou posterior e configurar 'org.apache.parquet.avro.SERIALIZABLE_PACKAGES' para restringir quais pacotes são permitidos para deserialização.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...