Luca Stivali : 5 Aprile 2025 08:30
Di vulnerabilità con CVSS di gravità 10 se ne vedono pochissime (per fortuna), ma questa volta siamo di fronte ad una gravissima falla di sicurezza che minaccia Apache Parquet.
Si tratta di una vulnerabilità a massima gravità (CVSS v4 10.0) in Apache Parquet classificata come CVE-2025-30065, la quale minaccia seriamente la sicurezza degli ambienti big data, consentendo l’esecuzione di codice da remoto (RCE) su sistemi vulnerabili.
Apache Parquet è un formato di archiviazione dati orientato alle colonne gratuito e open source nell’ecosistema Apache Hadoop. È simile a RCFile e ORC, gli altri formati di file di archiviazione a colonne in Hadoop , ed è compatibile con la maggior parte dei framework di elaborazione dati attorno a Hadoop. Fornisce schemi di compressione e codifica dati efficienti con prestazioni migliorate per gestire dati complessi in blocco.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] ![]() Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il problema riguarda tutte le versioni di Apache Parquet fino alla 1.15.0 inclusa. Un malintenzionato può creare un file Parquet appositamente manipolato e, se questo viene importato in un sistema vulnerabile, ottiene la possibilità di:
La vulnerabilità è stata scoperta da Keyi Li, ricercatore di Amazon, e divulgata responsabilmente il 1° aprile 2025. Il problema è stato risolto con il rilascio della versione Apache Parquet 1.15.1, che tutti gli utenti sono fortemente invitati ad installare immediatamente.
Parquet è uno standard de facto nel mondo della data engineering e analytics. È utilizzato da colossi come Netflix, Uber, Airbnb e LinkedIn, oltre che in ambienti Hadoop, AWS, Google Cloud, Azure, data lakes, pipeline ETL e sistemi di intelligenza artificiale.
Il formato columnar consente una gestione efficiente di grandi volumi di dati, ma proprio per la sua diffusione, una vulnerabilità in Parquet rappresenta una superficie d’attacco critica per l’intera filiera del dato.
“Schema parsing in the parquet-avro module of Apache Parquet 1.15.0 and previous versions allows bad actors to execute arbitrary code”, si legge nel bollettino di sicurezza pubblicato su Openwall.
Fortunatamente, l’exploit richiede un’interazione utente: l’importazione di un file Parquet malevolo. Tuttavia, in ambienti dove i file vengono ricevuti da terze parti o fonti esterne (ad esempio in pipeline automatizzate), il rischio diventa molto più concreto.
Secondo Endor Labs, la vulnerabilità potrebbe risalire alla versione 1.8.0 di Parquet, rendendo necessaria una verifica approfondita degli stack in produzione per valutare l’esposizione.
Anche se non sono ancora stati rilevati exploit attivi, la combinazione di gravità tecnica (CVSS 10.0) e ampia adozione della tecnologia rende CVE-2025-30065 una delle vulnerabilità più critiche del 2025 per l’ambito big data.
Le principali agenzie di tutto il mondo, hanno lanciato l’allarme per una minaccia critica all’infrastruttura di rete: le vulnerabilità dei dispositivi Cisco Adaptive Security Appliance (ASA) e F...
Sei stanco dei noiosi corsi di formazione in e-learning? Vuoi davvero far comprendere ai dipendenti della tua azienda i comportamenti sbagliati ed errati per poterla mettere al sicuro? Bene! E’ arri...
Negli ultimi giorni è stata individuata una campagna di malvertising che ha come bersaglio gli utenti aziendali che cercano di scaricare Microsoft Teams. A prima vista, l’attacco sembra banale: un ...
All’inizio di questo mese, è emersa una notizia riguardante l’azienda cinese Kaiwa Technology, che avrebbe creato un “robot per la gravidanza”. La notizia era accompagnata da immagini vivide:...
Dalla fine di luglio 2025 è stata registrata una nuova ondata di attacchi informatici che colpisce le organizzazioni dotate di firewall SonicWall, con la diffusione attiva del ransomware Akira. Secon...