1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Apache Parquet Javaの脆弱性(CVE-2025-30065)の検証・検出ツールをF5 Labsが公開

Apache Parquet Javaの脆弱性(CVE-2025-30065)の検証・検出ツールをF5 Labsが公開

セキュリティニュース

投稿日時: 更新日時:

Apache Parquet Java0の脆弱性(CVE-2025-30065)の検証・検出ツールをF5 Labsが公開

2025年4月1日に公開されたCVE-2025-30065は、Apache Parquet Javaライブラリ(parquet-avroモジュール)に存在する深刻な脆弱性です。CVSSスコアは10.0(Critical)とされ、多くのIT担当者やセキュリティチームに警戒を促しました。

F5 Labsはこの脆弱性について詳細に分析し、現実的なリスクや攻撃可能性を整理。さらに、自社環境が脆弱かどうかを安全に検出できる「カナリアエクスプロイトツール」を開発・公開しました。

CVE-2025-30065の概要

この脆弱性は、Apache ParquetがAvro形式のデータを扱う際に、Javaの任意クラスをインスタンス化できてしまうというものです。攻撃者が細工したParquetファイルをシステムに読み込ませると、クラスのコンストラクタ(文字列1つを引数とするもの)を使って意図しない処理を強制できます。

F5 Labsによると、この脆弱性は以下のような制約があります:

  • 実際に呼び出せるのはクラスパス上に存在し、String型の引数1つで生成できるJavaクラスのみ

  • 一般的なRCE(リモートコード実行)には至らない

  • 想定される攻撃は、JEditorKitなどの副作用を利用した外部通信の発生程度

つまり、任意コード実行にはならないものの、不正なネットワークアクセスや情報送信を誘発できる可能性があるというのが実態です。

F5 Labs製「カナリアエクスプロイト」ツールとは

F5 Labsは、多くの既存PoCが正常に動作しないことから、独自にParquet/Avroファイルを生成するPoCツールを開発。GitHub上で無償公開しています。

このツールでは、Java標準クラスである javax.swing.JEditorKit を文字列引数で呼び出すことで、HTTP GETリクエストが自動で送信されるという副作用を利用しています。

実的な影響と対策

悪用される可能性のあるシナリオ

  • 攻撃者が細工済みのParquetファイルを公開し、研究者や開発者に使用を促す

  • メール等で標的に直接Parquetファイルを送付(スピアフィッシング型)

  • サードパーティ経由の供給チェーン攻撃

対策:

  • Apache Parquetをv15.1.1以降にアップデート

  • 外部由来のParquetファイルを無条件に処理しない設計への見直し

  • 上記のF5 Labsツールを用いた脆弱性チェックの実施

  • システムプロパティで許可パッケージを明示する:

org.apache.parquet.avro.SERIALIZABLE_PACKAGES

情報システム部門への示唆

ParquetとAvroはAI/ML、ビッグデータ処理、ETLなど多くの業務システムで用いられています。そのため、自社で利用していなくとも、クラウドサービスや外部連携を通じて潜在的な影響を受ける可能性がある点に注意が必要です。

  • クラスパスにあるライブラリ群(含む古いライブラリ)を把握できているか?

  • 外部データの受け入れ経路において、構造化ファイルの取り扱いポリシーは定まっているか?

  • 認証されていないファイル読込処理が本番環境で存在していないか?

 

一部参照

https://www.f5.com/labs/articles/threat-intelligence/canary-exploit-tool-for-cve-2025-30065-apache-parquet-avro-vulnerability

関連記事

Apache Tomcatに深刻な脆弱性、DoS攻撃やセキュリティルール回避のリスク- 迅速なアップデートを推奨(CVE-2025-31650)Apache Tomcatに深刻な脆弱性、DoS攻撃やセキュリティルール回避のリスク- 迅速なアップデートを推奨(CVE-2025-31650) Apache Parquetで重大な脆弱性、対象者はアップデートを(CVE-2025-30065)Apache Parquetで重大な脆弱性、対象者はアップデートを(CVE-2025-30065) Apache Tomcatでリモートコード実行や情報 漏洩のリスクがある脆弱性(CVE-2025-24813)Apache Tomcatでリモートコード実行や情報 漏洩のリスクがある脆弱性(CVE-2025-24813) Apache Tomcatの脆弱性 CVE-2025-24813の悪用を確認、対象者は早急にアップデートをApache Tomcatの脆弱性 CVE-2025-24813の悪用を確認、対象者は早急にアップデートを Apache Igniteでリモートコードが実行できる脆弱性(CVE-2024-52577)Apache Igniteでリモートコードが実行できる脆弱性(CVE-2024-52577) CISAがApache Tomcatの脆弱性 CVE-2025-24813をKEVに登録、対象者はアップデートが必須CISAがApache Tomcatの脆弱性 CVE-2025-24813をKEVに登録、対象者はアップデートが必須 Apache Tomcatがリモートコード実行の脆弱性およびDoS脆弱性を修正(CVE-2024-50379 、CVE-2024-54677)Apache Tomcatがリモートコード実行の脆弱性およびDoS脆弱性を修正(CVE-2024-50379 、CVE-2024-54677) Apache OFBizが重大な脆弱性を修正(CVE-2024-45195)Apache OFBizが重大な脆弱性を修正(CVE-2024-45195) Apache SeaTunnelに未認証アクセスの脆弱性(CVE-2025-32896)Apache SeaTunnelに未認証アクセスの脆弱性(CVE-2025-32896)