Plattform
java
Komponente
org.apache.storm:storm-webapp
Behoben in
2.8.6
2.8.6
CVE-2026-35565 describes a Stored Cross-Site Scripting (XSS) vulnerability found in the Apache Storm web UI. This vulnerability allows an authenticated user with topology submission rights to inject malicious HTML or JavaScript code into the UI through crafted topology metadata, potentially leading to unauthorized actions or data theft. The vulnerability affects versions of Apache Storm up to and including 2.8.5, but a patch is available in version 2.8.6.
CVE-2026-35565 in der Apache Storm UI ermöglicht eine gespeicherte Cross-Site Scripting (XSS)-Schwachstelle. Dies liegt daran, dass die UI Metadaten der Topologie, einschließlich Komponenten-IDs, Stream-Namen und Gruppierungswerten, direkt in HTML über innerHTML interpretiert, ohne jegliche Bereinigung. Ein authentifizierter Benutzer mit Berechtigungen zur Topologie-Übermittlung könnte eine bösartige Topologie erstellen, die HTML-/JavaScript-Code in den Komponenten-Identifikatoren enthält. Dadurch kann ein Angreifer beliebigen JavaScript-Code in den Browsern anderer Benutzer ausführen, die auf die UI zugreifen, möglicherweise Sitzungscookies stehlen, auf bösartige Websites umleiten oder Aktionen im Namen des betroffenen Benutzers ausführen. Der CVSS-Wert beträgt 5,4, was ein mittleres Risiko anzeigt.
Ein Angreifer benötigt eine Authentifizierung und Berechtigungen, um Topologien an Apache Storm zu übermitteln. Sobald der Angreifer eine bösartige Topologie übermittelt hat, wird der bösartige JavaScript-Code in der Datenbank oder dem Cache der UI gespeichert. Wenn andere Benutzer auf die UI zugreifen, um die Topologie anzuzeigen, wird der JavaScript-Code in ihren Browsern ausgeführt. Die Schwachstelle wird ausgenutzt, indem der fehlende Bereinigungsprozess der Topologiemetadaten vor der Einfügung in das HTML der UI ausgenutzt wird. Der Erfolg der Ausnutzung hängt von der Fähigkeit des Angreifers ab, eine Topologie zu erstellen, die bösartigen JavaScript-Code enthält, der im Kontext des Zielbenutzers ausgeführt werden kann.
Exploit-Status
EPSS
0.02% (4% Perzentil)
CVSS-Vektor
Die primäre Abhilfemaßnahme für diese Schwachstelle ist das Upgrade von Apache Storm auf Version 2.8.6 oder höher. Diese Version enthält Korrekturen, um die direkte Interpretation von Topologiemetadaten in HTML zu verhindern. Als vorübergehende Lösung sollten Sie die Topologievisualisierung in der UI deaktivieren, wenn sie nicht unbedingt erforderlich ist. Implementieren Sie außerdem Sicherheitsrichtlinien, die die Berechtigungen zur Topologie-Übermittlung auf vertrauenswürdige Benutzer beschränken und so die Angriffsfläche reduzieren. Die Überwachung der UI-Protokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu identifizieren und darauf zu reagieren.
Actualice a la versión 2.8.6 o superior para mitigar la vulnerabilidad. Si no es posible actualizar inmediatamente, aplique un parche a las funciones parseNode() y parseEdge() en el archivo JavaScript de la visualización para escapar HTML de todos los valores proporcionados por la API, incluyendo nodeId, :capacity, :latency, :component, :stream y :grouping, antes de interpolarlos en las cadenas HTML de la herramienta de información.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
XSS (Cross-Site Scripting) ist eine Art von Sicherheitslücke, die es Angreifern ermöglicht, bösartige Skripte in Webseiten einzuschleusen, die von anderen Benutzern aufgerufen werden.
Version 2.8.6 enthält einen Fix für diese spezielle Schwachstelle und beseitigt so das Risiko von gespeichertem XSS.
Der Angreifer benötigt eine Authentifizierung und Berechtigungen, um Topologien an Apache Storm zu übermitteln.
Wenn Sie eine Version von Apache Storm vor 2.8.6 verwenden, sind Sie wahrscheinlich betroffen. Weitere Informationen finden Sie in der Apache Storm-Dokumentation.
Implementieren Sie Sicherheitsrichtlinien, um die Berechtigungen zur Topologie-Übermittlung einzuschränken und die UI-Protokolle zu überwachen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.