Pesquisadores do F5 Labs desenvolveram uma nova ferramenta de código aberto que facilita a identificação de servidores vulneráveis à falha CVE-2025-30065, uma brecha crítica encontrada no Apache Parquet — formato amplamente usado em soluções de big data.
Nova ferramenta detecta falha grave em servidores que usam Apache Parquet
A iniciativa surgiu após a análise de outras provas de conceito (PoCs) existentes, que se mostraram ineficazes ou instáveis. Diferente dessas, a ferramenta recém-lançada comprova a viabilidade prática da exploração da falha e pode ser utilizada por administradores para testar a segurança de seus próprios sistemas.
O que é o Apache Parquet?
Apache Parquet é um formato de armazenamento de dados colunar, open source, voltado para eficiência no processamento de grandes volumes de dados. Ele é comum em sistemas de engenharia e análise de dados de empresas que lidam com big data.
Detalhes da vulnerabilidade CVE-2025-30065
Relatada inicialmente em 1º de abril de 2025 por Keyi Li, pesquisador da Amazon, a falha afeta todas as versões do Apache Parquet até a 1.15.0. Ela está relacionada à desserialização insegura no módulo parquet-avro, permitindo que classes Java não autorizadas sejam instanciadas ao se ler arquivos Avro embutidos.
Embora tecnicamente não configure uma execução remota de código (RCE) tradicional, a falha pode ser explorada se determinadas classes causarem efeitos colaterais ao serem instanciadas — por exemplo, disparando uma requisição de rede para um servidor externo sob controle do invasor.
Risco moderado, mas real
Segundo a análise do F5 Labs, apesar de a exploração exigir uma cadeia de condições específicas, o risco não deve ser ignorado, especialmente em ambientes que processam arquivos de fontes externas sem validação adequada. Em tais contextos, a falha pode ser usada como vetor inicial de ataque.
“Embora não seja uma RCE completa, o risco aumenta quando há manipulação de arquivos Parquet sem controle”, afirmam os pesquisadores no relatório. A principal preocupação é com ambientes automatizados que lidam com dados de terceiros, algo comum em pipelines de dados modernos.
Como funciona a ferramenta de verificação?
A ferramenta disponibilizada no GitHub aciona a desserialização de uma classe específica — javax.swing.JEditorKit — para forçar uma requisição HTTP GET. Caso o sistema seja vulnerável, essa ação pode confirmar a exposição sem causar danos reais.
Medidas de mitigação recomendadas
Para se proteger, é altamente recomendável:
- Atualizar o Apache Parquet para a versão 1.15.1 ou superior;
- Configurar a propriedade org.apache.parquet.avro.SERIALIZABLE_PACKAGES para restringir pacotes permitidos durante a desserialização.
Essas medidas reduzem significativamente a superfície de ataque, mesmo em casos em que a validação de entrada não seja totalmente confiável.