Une vulnérabilité d’exécution de code à distance (RCE) de gravité maximale a été découverte affectant toutes les versions d’Apache Parquet jusqu’à la version 1.15.0 incluse.
Le problème provient de la désérialisation des données non fiables qui pourrait permettre aux attaquants dotés de fichiers Parquet spécialement conçus de prendre le contrôle des systèmes cibles, d’exfiltrer ou de modifier des données, de perturber les services ou d’introduire des charges utiles dangereuses telles que des ransomwares.
La vulnérabilité est suivie sous CVE-2025-30065 et a un score CVSS v4 de 10,0. La faille a été corrigée avec la sortie de la version 1.15.1 d’Apache.
Il est à noter que pour exploiter cette faille, les acteurs de la menace doivent convaincre quelqu’un d’importer un fichier Parquet spécialement conçu.
Grave menace pour les environnements « big data »
Apache Parquet est un format de stockage en colonnes open source conçu pour un traitement efficace des données. Contrairement aux formats basés sur des lignes (comme CSV), Parquet stocke les données par colonnes, ce qui le rend plus rapide et plus peu encombrant pour les charges de travail analytiques.
Il est largement adopté dans l’écosystème de l’ingénierie et de l’analyse des données, y compris les plates-formes Big Data telles que Hadoop, AWS, Amazon, Google et les services cloud Azure, les lacs de données et les outils ETL.
Certaines grandes entreprises qui utilisent Parquet incluent Netflix, Uber, Airbnb et LinkedIn.
Le problème de sécurité dans Parquet a été divulgué le 1er avril 2025, à la suite d’une divulgation responsable de son découvreur, le chercheur Amazon Keyi Li.
« L’analyse des schémas dans le module parquet-avro d’Apache Parquet 1.15.0 et des versions précédentes permet aux mauvais acteurs d’exécuter du code arbitraire », a averti le court bulletin publié sur Openwall.
« Il est recommandé aux utilisateurs de passer à la version 1.15.1, ce qui résout le problème. »
Un bulletin distinct d’Endor Labs met plus clairement en évidence le risque d’exploitation de CVE-2025-30065, avertissant que la faille peut avoir un impact sur tous les pipelines de données et systèmes d’analyse qui importent des fichiers Parquet, le risque étant important pour les fichiers provenant de points externes.
Endor Labs pense que le problème a été introduit dans la version 1.8.0 de Parquet, bien que les anciennes versions puissent également être affectées. L’entreprise suggère des vérifications coordonnées avec les développeurs et les fournisseurs pour déterminer quelles versions de Praquet sont utilisées dans les piles de logiciels de production.
« Si un attaquant incite un système vulnérable à lire un fichier Parquet spécialement conçu, il pourrait obtenir l’exécution de code à distance (RCE) sur ce système », prévient Endor Labs.
Cependant, la firme de sécurité évite de surestimer le risque en incluant la note: « Malgré le potentiel effrayant, il est important de noter que la vulnérabilité ne peut être exploitée que si un fichier Parquet malveillant est importé. »
Cela étant dit, si la mise à niveau vers Apache Parquet 1.15.1 est immédiatement impossible, il est suggéré d’éviter les fichiers Parquet non fiables ou de valider soigneusement leur sécurité avant de les traiter. En outre, la surveillance et la journalisation des systèmes qui gèrent le traitement du parquet devraient être augmentées.
Bien qu’aucune exploitation active n’ait encore été découverte, le risque est élevé en raison de la gravité de la faille et de l’utilisation généralisée des fichiers Parquet dans les applications Big Data.
Il est recommandé aux administrateurs des systèmes impactés de passer à la version 1.15.1 de Parquet, qui traite CVE-2025-30065, dès que possible.