Un exploit de validation de principe a été rendu public pour une vulnérabilité Apache Parquet de gravité maximale, suivie comme CVE-2025-30065, facilitant la recherche de serveurs vulnérables.
L’outil a été publié par des chercheurs de F5 Labs qui ont enquêté sur la vulnérabilité après avoir constaté que plusieurs POC existants étaient faibles ou totalement non fonctionnels.
L’outil sert de preuve de l’exploitabilité pratique de CVE-2025-30065 et peut également aider les administrateurs à évaluer leurs environnements et leurs serveurs sécurisés.
Apache Parquet est un format de stockage en colonnes open source conçu pour un traitement efficace des données, largement utilisé par les plates-formes Big Data et les organisations engagées dans l’ingénierie et l’analyse des données.
La faille a été divulguée pour la première fois le 1er avril 2025, à la suite d’une découverte antérieure du chercheur Amazon Keyi Li. Il a été classé comme une exécution de code à distance affectant toutes les versions d’Apache Parquet jusqu’à et y compris 1.15.0.
D’un point de vue technique, CVE-2025-30065 est une faille de désérialisation dans le module parquet-avro d’Apache Parquet Java, où la bibliothèque ne parvient pas à restreindre les classes Java qui peuvent être instanciées lors de la lecture des données Avro incorporées dans les fichiers Parquet.
Le 2 avril 2025, Endor Labs a publié un avertissement écrit sur le risque d’exploitation et son impact potentiel sur les systèmes qui importent des fichiers de parquet à partir de points externes.
Une analyse ultérieure par F5 Labs montre que la faille n’est pas une RCE de désérialisation complète mais peut toujours être utilisée à mauvais escient si une classe a des effets secondaires lors de l’instanciation, comme lors d’une requête réseau du système vulnérable vers un serveur contrôlé par un attaquant.
Cependant, les chercheurs ont conclu que l’exploitation pratique est difficile et que CVE-2025-30065 a une valeur limitée pour les attaquants.
« Bien que Parquet et Avro soient largement utilisés, ce problème nécessite un ensemble de circonstances spécifiques qui ne sont pas si probables en général », lit-on dans le rapport de F5 Labs.
« Même dans ce cas, cette CVE permet uniquement aux attaquants de déclencher l’instanciation d’un objet Java qui doit alors avoir un effet secondaire utile pour l’attaquant. »
Malgré la faible probabilité d’exploitation, les chercheurs admettent que certaines organisations traitent des fichiers de parquet à partir de sources externes, souvent non vérifiées, et que le risque est donc important dans certains environnements.
Pour cette raison, F5 Labs a créé un outil « canary exploit » (disponible sur GitHub) qui déclenche une requête HTTP GET via l’instanciation de javax.balance.JEditorKit, permettant aux utilisateurs de vérifier l’exposition.
Outre l’utilisation de l’outil, il est recommandé de passer à Apache Parquet version 15.1.1 ou ultérieure et de configurer ‘org.apache.parquet.avro.SERIALIZABLE_PACKAGES ‘ pour restreindre les packages autorisés pour la désérialisation.