Se ha revelado una vulnerabilidad de seguridad de gravedad máxima en la biblioteca Java de Apache Parquet que, si se explota con éxito, podría permitir que un atacante remoto ejecute código arbitrario en instancias susceptibles.
Apache Parquet es un formato de archivo de datos columnar gratuito y de código abierto que está diseñado para un procesamiento y recuperación de datos eficientes, que proporciona soporte para datos complejos, compresión de alto rendimiento y esquemas de codificación. Se lanzó por primera vez en 2013.
La vulnerabilidad en cuestión se rastrea como CVE-2025-30065. Lleva una puntuación CVSS de 10.0.
«El análisis de esquemas en el módulo Avro de Parquet de Apache Parquet 1.15.0 y las versiones anteriores permiten a los malos actores ejecutar código arbitrario», dijeron los mantenedores del proyecto en un aviso.
Según Endor Labs, la explotación exitosa de la falla requiere engañar a un sistema vulnerable para que lea un archivo de parquet especialmente elaborado para obtener la ejecución del código.
«Esta vulnerabilidad puede afectar las tuberías de datos y los sistemas de análisis que importan archivos de parquet, particularmente cuando esos archivos provienen de fuentes externas o no confiables», dijo la compañía. «Si los atacantes pueden manipular con los archivos, la vulnerabilidad puede activarse».
La deficiencia impacta todas las versiones del software hasta 1.15.0. Se ha abordado en la versión 1.15.1. Keyi Li de Amazon ha sido acreditado por descubrir e informar la falla.
Si bien no hay evidencia de que la falla haya sido explotada en la naturaleza, las vulnerabilidades en los proyectos de Apache se han convertido en una pararrayos para los actores de amenaza que buscan violar los sistemas de manera oportunista y implementar malware.
El mes pasado, una falla de seguridad crítica en Apache Tomcat (CVE-2025-24813, puntaje CVSS: 9.8) quedó bajo explotación activa dentro de las 30 horas posteriores a la divulgación pública.
La firma de seguridad en la nube Aqua, en un análisis publicado esta semana, dijo que descubrió una nueva campaña de ataque que se dirige a los servidores Apache Tomcat con credenciales fáciles de adivinar para implementar cargas útiles encriptadas que están diseñadas para robar credenciales de SSH para el movimiento lateral y, en última instancia, los recursos del sistema para la minería de criptocurrencias ilicit.
Las cargas útiles también son capaces de establecer la persistencia y actuar como un shell web basado en Java que «permite al atacante ejecutar el código Java arbitrario en el servidor», dijo Assaf Morag, director de inteligencia de amenazas en ACUA.
«Además, el script está diseñado para verificar si el usuario tiene privilegios raíz y si es así, ejecuta dos funciones que optimizan el consumo de CPU para obtener mejores resultados de criptominación».
Es probable que la campaña, que afecta tanto a Windows como a los sistemas de Linux, es probable que sea el trabajo de un actor de amenaza de habla china debido a la presencia de comentarios del idioma chino en el código fuente.