В сети опубликован рабочий эксплойт для критической уязвимости в Apache Parquet
Исследователи подтвердили — угроза реальна и уже используется в реальных атаках.
Уязвимость в Apache Parquet с оценкой 10.0 по шкале CVSS, получившая идентификатор CVE-2025-30065 , вышла на новый виток угрозы: исследователи из F5 Labs опубликовали рабочий эксплойт, доказывающий её работоспособность в реальных атаках. Это означает, что теперь скомпрометировать уязвимые серверы хакерам стало значительно проще.
Apache Parquet представляет собой открытый формат хранения данных в виде колонок, активно применяемый в проектах, связанных с аналитикой, обработкой больших данных и инженерией данных. уязвимость затрагивает компонент parquet-avro Java-библиотеки, отвечающий за чтение данных Avro внутри файлов Parquet.
Проблема заключается в отсутствии ограничений на то, какие классы Java могут быть созданы при десериализации. Это открывает возможность для атак с побочными эффектами, например, принудительной отправки HTTP-запроса на сервер злоумышленника.
Хотя сама уязвимость была раскрыта ещё в начале апреля благодаря специалисту Amazon Кейи Ли, на тот момент большинство публичных PoC-инструментов либо плохо работали, либо вовсе были неработоспособны. Именно поэтому F5 Labs решила разработать и опубликовать тестовый эксплойт (Canary Exploit). Он не причиняет вреда, но позволяет проверить, возможна ли эксплуатация уязвимости на конкретной системе — при помощи вызова класса javax.swing.JEditorKit, выполняющего сетевой запрос.
Анализ F5 Labs уточняет: речь не идёт о полноценной удалённой возможности выполнения произвольного кода. Однако если в процессе создания выбранного класса происходит сетевое взаимодействие, загрузка данных или другой значимый побочный эффект, то такая эксплуатация может использоваться как часть атаки. Особенно это касается инфраструктур, которые автоматически обрабатывают загружаемые извне файлы Parquet — таких, например, как ETL-сценарии в аналитических системах.
Несмотря на то, что успешная атака требует редкого сочетания факторов, авторы инструмента подчёркивают: недооценивать угрозу не стоит. В корпоративных средах, где Parquet-файлы принимаются от сторонних источников, возможна серьёзная компрометация.
Чтобы минимизировать риски, специалисты советуют обновиться до Apache Parquet версии 1.15.1 и выше, а также настроить параметр org.apache.parquet.avro.SERIALIZABLE_PACKAGES, который ограничивает пакеты, разрешённые к десериализации.
Появление полноценного рабочего инструмента в публичном доступе может стимулировать волны сканирования и автоматизированных атак, особенно среди менее защищённых и устаревших систем. Поэтому даже несмотря на сложность эксплуатации, реакция защитников должна быть своевременной.