Kritisk RCE-sårbarhed i Apache Parquet med CVSS-score på 10

En kritisk sårbarhed er blevet fundet i Apache Parquet - en open-source kolonnelagringsformat, der anvendes til effektiv databehandling. 

Det skriver The Hacker News og Bleeping Computer.

Sårbarheden har id'et CVE-2025-30065 og en maksimal CVSS-score på 10.0. Den gør det muligt for angribere at afvikle vilkårlig kode på berørte systemer. Sårbarheden skyldes usikker deserialisering i parquet-avro-modulet i Apache Parquet version 1.15.0 og tidligere. En angriber kan udnytte problemet ved at få et system til at indlæse en særligt udformet Parquet-fil, hvilket kan give adgang til fjernafvikling af kode (RCE).

Apache oplyser, at fejlen opstår ved håndtering af ukontrollerede input, som kan føre til udførelse af Java-objekter i den modtagende applikation.

The Hacker News skriver, at Apache projekter i de senere år er blevet attraktive mål for trusselsaktører, der kigger efter mål, som de på opportunistisk vis kan kompromittere mhp. at afvikle malware. Og peger på, at en fejl i Apache Tomcat, CVE-2025-24813, CVSS-score 9.8 kom under angreb i sidste måned og blev udsat for udnyttelse inden for 30 timer efter at sårbarheden var blevet afsløret. 

Derfor er det interessant for aktører, at Apache Parquet benyttes i stor stil i big data- og analyseplatforme som Apache Hadoop, Apache Spark, samt i cloudmiljøer fra AWS, Google Cloud og Azure. Desuden er teknologien udbredt blandt virksomheder som Netflix, Uber, Airbnb og LinkedIn. Selv om der endnu ikke er opdaget nogen aktiv udnyttelse, vurderes risikoen for at være høj på grund af fejlens alvor og den udbredte brug af Parquet-filer i big data-applikationer. 

Det vil også være lidt af en fangst at få i nettet, hvis man formår at kompromittere sådan nogle giganter som de nævnte eksempler trods alt er. 

Det anbefales , at alle brugere opdaterer til Apache Parquet version 1.15.1, hvor sårbarheden er blevet rettet. Den nyeste version kan hentes via Apache Parquet-projektets officielle hjemmeside.