प्लेटफ़ॉर्म
java
घटक
org.apache.storm:storm-client
में ठीक किया गया
2.8.6
2.8.6
CVE-2026-35337 describes an Insecure Deserialization vulnerability found in Apache Storm, specifically when processing topology credentials through the Nimbus Thrift API. This flaw allows an authenticated user to potentially execute arbitrary code on both the Nimbus and Worker JVMs by submitting a crafted serialized object. Versions affected are those prior to 2.8.6; upgrading to version 2.8.6 is the recommended fix.
Apache Storm Client में CVE-2026-35337 2.8.6 से पहले के संस्करणों को प्रभावित करता है। यह अविश्वसनीय डेटा के डीसीरियलाइजेशन के माध्यम से रिमोट कोड एग्जीक्यूशन (RCE) को सक्षम करता है। टोपोलॉजी सबमिशन विशेषाधिकार वाले प्रमाणित उपयोगकर्ता 'TGT' क्रेडेंशियल फ़ील्ड में एक दुर्भावनापूर्ण क्रमबद्ध ऑब्जेक्ट बना सकता है। फिर इस ऑब्जेक्ट को Nimbus और Worker नोड्स दोनों पर ObjectInputStream.readObject() का उपयोग करके डीसीरियलाइज़ किया जाता है, बिना किसी क्लास फ़िल्टरिंग या सत्यापन के, जिससे मनमाना कोड का निष्पादन हो सकता है। इस भेद्यता के लिए CVSS स्कोर 8.8 है, जो उच्च जोखिम का संकेत देता है। सफल शोषण से पूरे Storm क्लस्टर पर पूर्ण नियंत्रण मिल सकता है।
इस भेद्यता का उपयोग Nimbus Thrift API के माध्यम से किया जाता है, खासकर जब संशोधित क्रेडेंशियल्स के साथ एक टोपोलॉजी सबमिट की जाती है। हमलावर को प्रमाणित करने और टोपोलॉजी सबमिशन विशेषाधिकार होने की आवश्यकता है। हमले में एक दुर्भावनापूर्ण क्रमबद्ध ऑब्जेक्ट बनाना शामिल है, जो डीसीरियलाइज़ होने पर Nimbus या Worker सर्वर पर मनमाना कोड निष्पादित करता है। हमले की जटिलता अपेक्षाकृत कम है, क्योंकि इसमें केवल API अनुरोध में एक फ़ील्ड को संशोधित करने की आवश्यकता होती है। हालांकि प्रमाणीकरण हमले के दायरे को सीमित करता है, लेकिन RCE की संभावना इसे एक महत्वपूर्ण खतरा बनाती है। डीसीरियलाइजेशन के दौरान क्लास सत्यापन की कमी इस भेद्यता का मूल कारण है।
एक्सप्लॉइट स्थिति
EPSS
0.42% (62% शतमक)
CVSS वेक्टर
CVE-2026-35337 के लिए प्राथमिक शमन Apache Storm Client को संस्करण 2.8.6 या बाद के संस्करण में अपग्रेड करना है। इस संस्करण में डेटा के असुरक्षित डीसीरियलाइजेशन को रोकने के लिए फिक्स शामिल हैं। एक अस्थायी उपाय के रूप में, विश्वसनीय उपयोगकर्ताओं और सिस्टम को Nimbus Thrift API तक पहुंच को प्रतिबंधित करें। वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करना भी अनुशंसित है ताकि दुर्भावनापूर्ण पैटर्न की तलाश में आने वाले ट्रैफ़िक की जांच और फ़िल्टर किया जा सके। Nimbus और Worker लॉग की निगरानी संदिग्ध गतिविधि के लिए की जा सकती है, जो संभावित हमलों का पता लगाने और प्रतिक्रिया देने में मदद कर सकती है। अपग्रेड सबसे प्रभावी और अनुशंसित समाधान है।
Actualice a la versión 2.8.6 de Apache Storm. Si no puede actualizar inmediatamente, aplique un parche a ObjectInputFilter para restringir las clases deserializadas a javax.security.auth.kerberos.KerberosTicket y sus dependencias conocidas, siguiendo las instrucciones en las notas de la versión 2.8.6.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Apache Storm एक ओपन-सोर्स वितरित रीयल-टाइम कंप्यूटिंग सिस्टम है।
यह रिमोट कोड एग्जीक्यूशन की अनुमति देता है, जिससे पूरे Storm क्लस्टर की सुरक्षा खतरे में पड़ सकती है।
Nimbus Thrift API तक पहुंच को प्रतिबंधित करें और संदिग्ध गतिविधि के लिए लॉग की निगरानी करें।
भेद्यता स्कैनर Storm संस्करण का पता लगा सकते हैं और इस भेद्यता के बारे में चेतावनी दे सकते हैं।
यदि आपका संस्करण 2.8.6 से पहले का है, तो यह कमजोर है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।