Kerentanan keamanan keparahan maksimum telah diungkapkan di perpustakaan Java Apache Parquet yang, jika berhasil dieksploitasi, dapat memungkinkan penyerang jarak jauh untuk menjalankan kode sewenang -wenang pada contoh yang rentan.
Apache Parquet adalah format file data kolumnar yang bebas dan open-source yang dirancang untuk pemrosesan dan pengambilan data yang efisien, memberikan dukungan untuk data kompleks, kompresi kinerja tinggi, dan skema pengkodean. Ini pertama kali diluncurkan pada 2013.
Kerentanan yang dimaksud dilacak sebagai CVE-2025-30065. Ini membawa skor CVSS 10,0.
“Skema parsing dalam modul parket-Avro dari Apache Parket 1.15.0 dan versi sebelumnya memungkinkan aktor buruk untuk mengeksekusi kode sewenang-wenang,” kata pengelola proyek dalam penasihat.
Menurut Endor Labs, eksploitasi kelemahan yang berhasil membutuhkan penipuan sistem yang rentan untuk membaca file parket yang dibuat khusus untuk mendapatkan eksekusi kode.
“Kerentanan ini dapat memengaruhi saluran pipa data dan sistem analitik yang mengimpor file parket, terutama ketika file -file tersebut berasal dari sumber eksternal atau tidak terpercaya,” kata perusahaan itu. “Jika penyerang dapat merusak file, kerentanan mungkin dipicu.”
Kekurangan itu berdampak pada semua versi perangkat lunak hingga dan termasuk 1.15.0. Ini telah ditangani dalam versi 1.15.1. Keyi Li dari Amazon telah dikreditkan dengan menemukan dan melaporkan cacat.
Meskipun tidak ada bukti bahwa kelemahan telah dieksploitasi di alam liar, kerentanan dalam proyek -proyek Apache telah menjadi tongkat kilat bagi para aktor ancaman yang ingin melanggar sistem secara oportunistik dan menggunakan malware.
Bulan lalu, cacat keamanan kritis di Apache Tomcat (CVE-2025-24813, skor CVSS: 9.8) berada di bawah eksploitasi aktif dalam waktu 30 jam setelah pengungkapan publik.
Perusahaan keamanan cloud Aqua, dalam sebuah analisis yang diterbitkan minggu ini, mengatakan bahwa pihaknya menemukan kampanye serangan baru yang menargetkan server Apache Tomcat dengan kredensial yang mudah ditebak untuk mengerahkan muatan terenkripsi yang dirancang untuk mencuri kredensial SSH untuk gerakan lateral dan akhirnya membajak sumber daya sistem untuk penambangan cryptocurrency ilegal.
Payload juga mampu membangun kegigihan dan bertindak sebagai cangkang web berbasis Java yang “memungkinkan penyerang untuk mengeksekusi kode Java yang sewenang-wenang di server,” Assaf Morag, Direktur Ancaman Intelijen di Aqua, mengatakan.
“Selain itu, skrip dirancang untuk memeriksa apakah pengguna memiliki hak istimewa root dan jika demikian itu menjalankan dua fungsi yang mengoptimalkan konsumsi CPU untuk hasil cryptomining yang lebih baik.”
Kampanye, yang mempengaruhi sistem Windows dan Linux, kemungkinan dinilai sebagai pekerjaan aktor ancaman berbahasa Cina karena adanya komentar bahasa Cina dalam kode sumber.
