Di vulnerabilità con CVSS di gravità 10 se ne vedono pochissime (per fortuna), ma questa volta siamo di fronte ad una gravissima falla di sicurezza che minaccia Apache Parquet.

Si tratta di una vulnerabilità a massima gravità (CVSS v4 10.0) in Apache Parquet classificata come CVE-2025-30065, la quale minaccia seriamente la sicurezza degli ambienti big data, consentendo l’esecuzione di codice da remoto (RCE) su sistemi vulnerabili.

Apache Parquet è un formato di archiviazione dati orientato alle colonne gratuito e open source nell’ecosistema Apache Hadoop. È simile a RCFile e ORC, gli altri formati di file di archiviazione a colonne in Hadoop , ed è compatibile con la maggior parte dei framework di elaborazione dati attorno a Hadoop. Fornisce schemi di compressione e codifica dati efficienti con prestazioni migliorate per gestire dati complessi in blocco.

Cos’è successo

Il problema riguarda tutte le versioni di Apache Parquet fino alla 1.15.0 inclusa. Un malintenzionato può creare un file Parquet appositamente manipolato e, se questo viene importato in un sistema vulnerabile, ottiene la possibilità di:

• Prendere il controllo del sistema target
• Esfiltrare o modificare dati sensibili
• Interrompere servizi
• Distribuire payload malevoli come ransomware

La vulnerabilità è stata scoperta da Keyi Li, ricercatore di Amazon, e divulgata responsabilmente il 1° aprile 2025. Il problema è stato risolto con il rilascio della versione Apache Parquet 1.15.1, che tutti gli utenti sono fortemente invitati ad installare immediatamente.

Perché è una minaccia seria

Parquet è uno standard de facto nel mondo della data engineering e analytics. È utilizzato da colossi come Netflix, Uber, Airbnb e LinkedIn, oltre che in ambienti Hadoop, AWS, Google Cloud, Azure, data lakes, pipeline ETL e sistemi di intelligenza artificiale.

Il formato columnar consente una gestione efficiente di grandi volumi di dati, ma proprio per la sua diffusione, una vulnerabilità in Parquet rappresenta una superficie d’attacco critica per l’intera filiera del dato.

“Schema parsing in the parquet-avro module of Apache Parquet 1.15.0 and previous versions allows bad actors to execute arbitrary code”, si legge nel bollettino di sicurezza pubblicato su Openwall.

Condizioni di sfruttamento

Fortunatamente, l’exploit richiede un’interazione utente: l’importazione di un file Parquet malevolo. Tuttavia, in ambienti dove i file vengono ricevuti da terze parti o fonti esterne (ad esempio in pipeline automatizzate), il rischio diventa molto più concreto.

Secondo Endor Labs, la vulnerabilità potrebbe risalire alla versione 1.8.0 di Parquet, rendendo necessaria una verifica approfondita degli stack in produzione per valutare l’esposizione.

Cosa fare subito

1. Aggiornare Apache Parquet alla versione 1.15.1 il prima possibile.
2. Bloccare l’importazione di file Parquet da fonti non attendibili fino a che l’ambiente non è stato messo in sicurezza.
3. Applicare controlli di validazione sui file Parquet prima del processamento.
4. Monitorare e loggare tutte le attività sui sistemi che trattano file Parquet.
5. Verificare con fornitori e sviluppatori se i propri strumenti o servizi fanno uso di versioni vulnerabili di Parquet.

Conclusione

Anche se non sono ancora stati rilevati exploit attivi, la combinazione di gravità tecnica (CVSS 10.0) e ampia adozione della tecnologia rende CVE-2025-30065 una delle vulnerabilità più critiche del 2025 per l’ambito big data.

L'articolo CVE-2025-30065: la Vulnerabilità Critica RCE di Apache Parquet che Minaccia l’Ecosistema Big Data proviene da il blog della sicurezza informatica.