Pesquisadores da F5 Labs publicaram um exploit funcional para a vulnerabilidade CVE-2025-30065, uma falha crítica no Apache Parquet que recebeu pontuação CVSS de 10.0. A divulgação da ferramenta torna a ameaça mais concreta, facilitando o comprometimento de servidores vulneráveis.
Leia também
Preview do Copilot Autofix no GitHub
App Store promoverá apps de desenvolvedores
A falha afeta o componente parquet-avro da biblioteca Java, usado para leitura de dados Avro em arquivos Parquet. A ausência de restrições na desserialização permite a criação arbitrária de classes Java, o que pode gerar efeitos colaterais indesejados, como o envio de requisições HTTP a servidores controlados por invasores.
Apesar de a vulnerabilidade ter sido revelada em abril pela especialista da Amazon Kay Lee, as ferramentas públicas de prova de conceito existentes eram pouco confiáveis. A F5 Labs, por isso, desenvolveu um exploit Canary de teste que invoca a classe javax.swing.JEditorKit, sem causar danos, mas capaz de detectar a exploração da falha por meio de chamadas de rede.
Segundo os pesquisadores, não se trata de uma execução remota completa de código, mas o comportamento durante a criação da classe pode viabilizar ataques reais em sistemas que processam arquivos Parquet de forma automática — como pipelines de ETL e soluções de big data.
A recomendação é atualizar para o Apache Parquet 1.15.1 ou superior e configurar o parâmetro org.apache.parquet.avro.SERIALIZABLE_PACKAGES para restringir os pacotes aceitos na desserialização.
O lançamento público do exploit pode motivar escaneamentos automatizados e tentativas de ataque, principalmente contra infraestruturas desatualizadas.
