La herramienta de explotación de prueba de concepto (POC) está expuesta debido a la máxima vulnerabilidad de gravedad en Apache Parquet, lo que permite a los equipos de seguridad identificar fácilmente los servidores afectados.
La vulnerabilidad rastreada como CVE-2025-30065 con una puntuación CVSS de 10.0 afecta los formatos de datos ampliamente utilizados en los entornos de procesamiento y análisis de big data.
Los investigadores de F5 Labs lanzaron la herramienta el 5 de mayo de 2025 después de descubrir que los POC anteriores no funcionaban ni se limitaban en utilidad.
La herramienta Canary Exploit ayuda a las organizaciones a determinar si un sistema es vulnerable a esta falla crítica de ejecución de código remoto.
“Decidimos echar un vistazo más de cerca a este problema porque los POC en circulación no funcionaban o parecían tener poca utilidad ofensiva”, dijeron los investigadores.
Herramienta para detectar vulnerabilidades en la ejecución del código de Apache Parquet
La vulnerabilidad revelada originalmente el 1 de abril de 2025 existe en Apache Parquet 1.15.0 y versiones anteriores del módulo Parquet-Avro.
Los actores malos pueden ejecutar código arbitrario a través del análisis de esquemas cuando se procesan archivos de parquet especialmente creados. Este defecto es de particular preocupación en las tuberías de datos y los sistemas de análisis que importan archivos de parquet de fuentes externas o no confiables.
La herramienta F5 Labs genera un archivo de llamadas de puerto “canario” que desencadena la instanciación de objetos de la clase Java Javax.swing.jeditorkit, y genera una solicitud HTTP Get en la URL especificada.
Cuando un sistema vulnerable procesa este archivo, vuelve a llamar a la URL para verificar la vulnerabilidad.
Use la herramienta con el siguiente comando:
Esta herramienta está disponible en GitHub. El análisis técnico de F5 Labs revela que las vulnerabilidades tienen la mayor calificación de gravedad, pero la explotación práctica es algo difícil.
Esta falla permite a un atacante activar la instanciación de un objeto Java desde una clase en el ClassPath de destino utilizando un constructor de argumentos de una sola cadena.
“Aunque Parquet y Avro son ampliamente utilizados, este problema requiere un conjunto específico de situaciones que generalmente no son el caso”, dice el informe de F5 Labs.
Sin embargo, los investigadores enfatizan que es esencial que las organizaciones verifiquen las implementaciones debido a su presencia ubicua en las tuberías de IA y ML de Parquet.
Las organizaciones que usan Apache Parquet deben tomar medidas inmediatas, de la siguiente manera:
Actualice desde Apache Parquet versión 1.15.1 o posterior. Configurar org.apache.parquet.avro.serializable_packages para restringir qué paquetes están permitidos para la desintervención. Evite establecer comodines
Para la configuración anterior. Realice una revisión de dependencia para identificar versiones vulnerables. Evite manejar archivos de parquet de fuentes no confiables.
Esta vulnerabilidad se agregará a la lista de defectos clave en proyectos de Apache que han atraído la atención de los actores de amenaza.
El mes pasado, una vulnerabilidad crítica en Apache Tomcat (CVE-2025-24813) fue sometida a una explotación activa dentro de las 30 horas posteriores a su divulgación. Se alienta a las organizaciones que administran tuberías de datos que evalúen rápidamente la exposición a esta vulnerabilidad.
El fraude fiscal se está volviendo más inteligente: verifique los dominios maliciosos en la suite de investigación de dominio
