Plateforme
java
Composant
org.apache.storm:storm-client
Corrigé dans
2.8.6
2.8.6
CVE-2026-35337 describes an Insecure Deserialization vulnerability found in Apache Storm, specifically when processing topology credentials through the Nimbus Thrift API. This flaw allows an authenticated user to potentially execute arbitrary code on both the Nimbus and Worker JVMs by submitting a crafted serialized object. Versions affected are those prior to 2.8.6; upgrading to version 2.8.6 is the recommended fix.
La vulnérabilité CVE-2026-35337 dans Apache Storm Client affecte les versions antérieures à 2.8.6. Elle permet l'exécution de code à distance (RCE) par le biais de la désérialisation de données non fiables. Un utilisateur authentifié disposant des privilèges de soumission de topologie peut créer un objet sérialisé malveillant dans le champ 'TGT' des informations d'identification. Cet objet est ensuite désérialisé à l'aide de ObjectInputStream.readObject() à la fois sur les nœuds Nimbus et Worker, sans filtrage ni validation de classe, ce qui permet l'exécution de code arbitraire. Le score CVSS pour cette vulnérabilité est de 8,8, ce qui indique un risque de haute gravité. Une exploitation réussie pourrait conduire à un contrôle total du cluster Storm.
La vulnérabilité est exploitée via l'API Nimbus Thrift, en particulier lors de la soumission d'une topologie avec des informations d'identification manipulées. L'attaquant doit s'authentifier et disposer des privilèges de soumission de topologie. L'attaque consiste à créer un objet sérialisé malveillant qui, lors de la désérialisation, exécute du code arbitraire sur le serveur Nimbus ou Worker. La complexité de l'attaque est relativement faible, ne nécessitant que la manipulation d'un champ dans la requête de l'API. Bien que l'authentification limite la portée de l'attaque, la possibilité d'une RCE en fait une menace importante. L'absence de validation de classe lors de la désérialisation est la cause première de la vulnérabilité.
Statut de l'Exploit
EPSS
0.42% (percentile 62%)
Vecteur CVSS
La principale mesure d'atténuation pour CVE-2026-35337 consiste à mettre à niveau Apache Storm Client vers la version 2.8.6 ou ultérieure. Cette version inclut des correctifs pour empêcher la désérialisation non sécurisée des données. En tant que mesure temporaire, restreignez l'accès à l'API Nimbus Thrift aux utilisateurs et systèmes de confiance. Il est également recommandé de mettre en œuvre un pare-feu applicatif Web (WAF) pour inspecter et filtrer le trafic entrant à la recherche de schémas malveillants. La surveillance des journaux Nimbus et Worker à la recherche d'activités suspectes peut aider à détecter et à répondre aux attaques potentielles. La mise à niveau est la solution la plus efficace et recommandée.
Actualice a la versión 2.8.6 de Apache Storm. Si no puede actualizar inmediatamente, aplique un parche a ObjectInputFilter para restringir las clases deserializadas a javax.security.auth.kerberos.KerberosTicket y sus dependencias conocidas, siguiendo las instrucciones en las notas de la versión 2.8.6.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Apache Storm est un système de calcul en temps réel distribué open source.
Elle permet l'exécution de code à distance, compromettant potentiellement la sécurité de l'ensemble du cluster Storm.
Restreignez l'accès à l'API Nimbus Thrift et surveillez les journaux à la recherche d'activités suspectes.
Les outils d'analyse de vulnérabilités peuvent détecter la version de Storm et signaler cette vulnérabilité.
Si votre version est antérieure à 2.8.6, elle est vulnérable.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.