Vulnerabilidad crítica en Apache Parquet: PoC para CVE-2025-30065

Se ha publicado una herramienta de explotación de prueba de concepto (PoC) para una vulnerabilidad crítica en Apache Parquet, identificada como CVE-2025-30065, lo que facilita la detección de servidores vulnerables expuestos a ataques. Esta falla, de gravedad máxima, afecta a todas las versiones de Apache Parquet hasta la 1.15.0 inclusive.

La herramienta fue desarrollada por investigadores de F5 Labs, quienes analizaron la vulnerabilidad tras comprobar que las PoC existentes eran ineficaces o completamente no funcionales. Esta nueva PoC no solo demuestra que la explotación práctica de CVE-2025-30065 es posible, sino que también ofrece a los administradores de sistemas una forma efectiva de evaluar la seguridad de sus entornos frente a esta amenaza.

¿Qué es Apache Parquet y por qué es relevante esta vulnerabilidad?

Apache Parquet es un formato de almacenamiento columnar de código abierto, ampliamente utilizado en entornos de big data, análisis de datos e ingeniería de datos. Gracias a su eficiencia en el procesamiento, Parquet se ha convertido en una pieza clave en plataformas como Apache Spark, Hive, y otras herramientas de análisis distribuidas.

La vulnerabilidad CVE-2025-30065 fue divulgada públicamente el 1 de abril de 2025 y descubierta inicialmente por Keyi Li, investigador de Amazon. Se clasifica como una falla de ejecución remota de código (RCE), concretamente una vulnerabilidad de deserialización en el módulo parquet-avro de Apache Parquet para Java. El fallo permite la creación de instancias de clases Java arbitrarias al leer datos Avro embebidos en archivos Parquet, sin aplicar restricciones adecuadas.

Detalles técnicos y riesgos asociados


Desde una perspectiva técnica, la vulnerabilidad no constituye una deserialización RCE completa, pero puede ser aprovechada si se invocan clases con efectos secundarios durante la instanciación, como el envío de solicitudes de red a servidores controlados por atacantes. Un análisis posterior de F5 Labs confirmó este riesgo y demostró su potencial mediante una herramienta de tipo exploit canary, que genera una solicitud HTTP GET utilizando la clase javax.swing.JEditorKit.

Aunque la explotación de CVE-2025-30065 requiere una serie de condiciones específicas y poco comunes, sigue representando una amenaza para organizaciones que procesan archivos Parquet de fuentes externas, especialmente si estos archivos no son validados adecuadamente.

Citar"Si bien Apache Parquet y Avro son tecnologías ampliamente adoptadas, este tipo de ataque necesita un conjunto muy particular de condiciones. Incluso en ese caso, el CVE solo permite la instanciación de objetos Java, y estos deben tener efectos secundarios explotables", se destaca en el informe de F5 Labs.

Recomendaciones de seguridad para Apache Parquet

Para mitigar los riesgos derivados de CVE-2025-30065, se recomienda:

• Actualizar Apache Parquet a la versión 1.15.1 o superior, donde la vulnerabilidad ha sido corregida.
• Restringir la deserialización de clases configurando la propiedad org.apache.parquet.avro.SERIALIZABLE_PACKAGES para permitir únicamente paquetes de confianza.
• Utilizar la herramienta de detección publicada por F5 Labs (disponible en GitHub), que permite verificar si los servidores son susceptibles a la explotación mediante una prueba controlada.

La divulgación de esta herramienta subraya la importancia de revisar periódicamente las configuraciones de seguridad en entornos que manejan grandes volúmenes de datos y emplean tecnologías como Apache Parquet. Aunque la probabilidad de explotación masiva sea baja, el impacto potencial en sistemas expuestos a archivos no verificados sigue siendo considerable.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta