Vulnerabilidad en Apache Parquet (CVE-2025-30065)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
01/04/2025
Última modificación:
07/05/2025
Descripción
El análisis del esquema en el módulo parquet-avro de Apache Parquet 1.15.0 y versiones anteriores permite que actores maliciosos ejecuten código arbitrario. Se recomienda a los usuarios actualizar a la versión 1.15.1, que soluciona el problema.
Impacto
Puntuación base 4.0
10.00
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://lists.apache.org/thread/okzqb3kn479gqzxm21gg5vqr35om9gw5
- http://www.openwall.com/lists/oss-security/2025/04/01/1
- https://access.redhat.com/security/cve/CVE-2025-30065
- https://github.com/apache/parquet-java/pull/3169
- https://news.ycombinator.com/item?id=43603091
- https://www.bleepingcomputer.com/news/security/max-severity-rce-flaw-discovered-in-widely-used-apache-parquet/
- https://github.com/h3st4k3r/CVE-2025-30065/blob/main/POC-CVE-2025-30065-ParquetExploitGenerator.java
- https://github.com/mouadk/parquet-rce-poc-CVE-2025-30065/blob/main/src/main/java/com/evil/GenerateMaliciousParquetSSRF.java