Un outil d’exploitation de preuve de concept a été rendu public pour une vulnérabilité Apache Parquet de sévérité maximale, référencée CVE-2025-30065. Cet outil facilite la détection de serveurs vulnérables.
Apache Parquet est un format de stockage en colonnes open source conçu pour un traitement efficace des données. Il est largement utilisé par les plateformes de big data et les organisations impliquées dans l’ingénierie et l’analyze des données.
La faille a été initialement divulguée le 1er avril 2025, suite à une découverte antérieure. Elle a été classée comme une exécution de code à distance affectant toutes les versions d’Apache Parquet jusqu’à la version 1.15.0 incluse.Techniquement, CVE-2025-30065 est une faille de désérialisation dans le module parquet-avro d’Apache Parquet Java. La bibliothèque ne parvient pas à restreindre les classes Java qui peuvent être instanciées lors de la lecture de données Avro intégrées dans des fichiers Parquet.
Une analyse ultérieure a révélé que la faille n’est pas une RCE de désérialisation complète, mais peut toujours être détournée si une classe a des effets secondaires lors de l’instanciation. Un exemple est l’établissement d’une requête réseau du système vulnérable vers un serveur contrôlé par un attaquant.
Cependant,les chercheurs ont conclu que l’exploitation pratique est difficile et que CVE-2025-30065 a une valeur limitée pour les attaquants.
« Bien que Parquet et Avro soient largement utilisés, ce problème nécessite un ensemble spécifique de circonstances qui ne sont pas très probables en général. »
« Même dans ce cas, cette CVE permet uniquement aux attaquants de déclencher l’instanciation d’un objet Java qui doit alors avoir un effet secondaire utile pour l’attaquant. »
Malgré la faible probabilité d’exploitation, les chercheurs reconnaissent que certaines organisations traitent des fichiers Parquet provenant de sources externes, souvent non vérifiées. Le risque est donc significatif dans certains environnements.
Pour cette raison, un outil d’exploitation “canari” a été créé. Il déclenche une requête HTTP GET via l’instanciation de javax.swing.JEditorKit, permettant aux utilisateurs de vérifier l’exposition.Outre l’utilisation de l’outil, il est recommandé de passer à Apache Parquet version 1.15.1 ou ultérieure et de configurer ‘org.apache.parquet.avro.SERIALIZABLE_PACKAGES’ pour restreindre les packages autorisés pour la désérialisation.