Изследователи от F5 Labs публикуваха инструмент за доказване на концепция (PoC), който показва как може да се експлоатира критична уязвимост в Apache Parquet, обозначена като CVE-2025-30065. Този инструмент улеснява идентифицирането на уязвими сървъри и позволява на администраторите да проверят дали техните среди са засегнати.
Apache Parquet е отворен формат за колонообразно съхранение на данни, широко използван в платформи за обработка на големи данни, аналитични системи и среди за изграждане на data pipelines. Благодарение на ефективната си структура, той е предпочитан избор в екосистеми като Apache Hadoop, Spark и други.
Уязвимостта беше разкрита на 1 април 2025 г. и засегна всички версии на Apache Parquet до и включително 1.15.0. Тя се отнася до де/сериализация в модула parquet-avro на Apache Parquet Java, където липсва ограничение за това кои Java класове могат да бъдат инстанцирани при четене на Avro данни, вградени в Parquet файлове.
Изследователи от Endor Labs предупредиха още на 2 април, че уязвимостта може да бъде използвана при импортиране на външни Parquet файлове, особено ако те идват от непроверени източници.
F5 Labs потвърдиха, че уязвимостта не е пълноценна RCE, но може да бъде използвана, ако инстанцираният Java клас има странични ефекти, например извършване на мрежова заявка. За демонстрация те използват javax.swing.JEditorKit, който предизвиква HTTP GET заявка към сървър под контрола на атакуващия, потвърждавайки наличието на уязвимост.
Въпреки това, според F5 Labs експлоатацията на CVE-2025-30065 е трудна и изисква специфични условия, което ограничава практическата й приложимост за масови атаки. Но в среди, които обработват данни от външни източници, рискът остава съществен.
За да се минимизира рискът от експлоатация, експертите препоръчват:
Незабавно обновяване до Apache Parquet версия 1.15.1 или по-нова;
Конфигуриране на параметъра org.apache.parquet.avro.SERIALIZABLE_PACKAGES, за да се ограничат позволените Java пакети при десериализация;
Използване на инструмента от F5 Labs (наличен в GitHub) за проверка на уязвими системи.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
