प्लेटफ़ॉर्म
java
घटक
org.apache.storm:storm-webapp
में ठीक किया गया
2.8.6
2.8.6
CVE-2026-35565 describes a Stored Cross-Site Scripting (XSS) vulnerability found in the Apache Storm web UI. This vulnerability allows an authenticated user with topology submission rights to inject malicious HTML or JavaScript code into the UI through crafted topology metadata, potentially leading to unauthorized actions or data theft. The vulnerability affects versions of Apache Storm up to and including 2.8.5, but a patch is available in version 2.8.6.
Apache Storm UI में CVE-2026-35565 एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता प्रस्तुत करता है। यह इसलिए होता है क्योंकि UI innerHTML के माध्यम से HTML में सीधे टोपोलॉजी मेटाडेटा (जैसे घटक ID, स्ट्रीम नाम और समूह मान) का व्याख्या करता है, बिना किसी सैनिटाइजेशन के। टोपोलॉजी सबमिशन विशेषाधिकार वाले एक प्रमाणित उपयोगकर्ता घटक पहचानकर्ताओं में HTML/JavaScript कोड युक्त एक दुर्भावनापूर्ण टोपोलॉजी बना सकता है। यह एक हमलावर को UI तक पहुंचने वाले अन्य उपयोगकर्ताओं के ब्राउज़रों में मनमाना JavaScript कोड निष्पादित करने की अनुमति देता है, संभावित रूप से सत्र कुकीज़ चुरा सकता है, दुर्भावनापूर्ण साइटों पर पुनर्निर्देशित कर सकता है या प्रभावित उपयोगकर्ता की ओर से कार्रवाई कर सकता है। CVSS स्कोर 5.4 है, जो मध्यम जोखिम दर्शाता है।
एक हमलावर को Apache Storm को टोपोलॉजी सबमिट करने के लिए प्रमाणीकरण और विशेषाधिकारों की आवश्यकता होती है। एक बार जब हमलावर एक दुर्भावनापूर्ण टोपोलॉजी सबमिट कर देता है, तो दुर्भावनापूर्ण JavaScript कोड UI के डेटाबेस या कैश में संग्रहीत हो जाता है। जब अन्य उपयोगकर्ता टोपोलॉजी देखने के लिए UI तक पहुंचते हैं, तो JavaScript कोड उनके ब्राउज़रों में निष्पादित होता है। यह भेद्यता UI के HTML में टोपोलॉजी मेटाडेटा डालने से पहले इसके सैनिटाइजेशन की कमी का फायदा उठाकर शोषण किया जाता है। शोषण की सफलता हमलावर की दुर्भावनापूर्ण JavaScript युक्त एक टोपोलॉजी बनाने की क्षमता पर निर्भर करती है जिसे लक्ष्य उपयोगकर्ता के संदर्भ में निष्पादित किया जा सकता है।
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CVSS वेक्टर
इस भेद्यता के लिए प्राथमिक शमन Apache Storm को संस्करण 2.8.6 या बाद के संस्करण में अपग्रेड करना है। इस संस्करण में टोपोलॉजी मेटाडेटा को HTML में सीधे व्याख्या करने से रोकने के लिए फिक्स शामिल हैं। एक अस्थायी समाधान के रूप में, यदि यह आवश्यक नहीं है, तो UI में टोपोलॉजी विज़ुअलाइज़ेशन को अक्षम करने पर विचार करें। इसके अतिरिक्त, सुरक्षा नीतियों को लागू करें जो विश्वसनीय उपयोगकर्ताओं को टोपोलॉजी सबमिशन विशेषाधिकारों को प्रतिबंधित करती हैं, जिससे हमले की सतह कम हो जाती है। संदिग्ध गतिविधि के लिए UI लॉग की निगरानी भी संभावित हमलों की पहचान करने और उनका जवाब देने में मदद कर सकती है।
Actualice a la versión 2.8.6 o superior para mitigar la vulnerabilidad. Si no es posible actualizar inmediatamente, aplique un parche a las funciones parseNode() y parseEdge() en el archivo JavaScript de la visualización para escapar HTML de todos los valores proporcionados por la API, incluyendo nodeId, :capacity, :latency, :component, :stream y :grouping, antes de interpolarlos en las cadenas HTML de la herramienta de información.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XSS (क्रॉस-साइट स्क्रिप्टिंग) सुरक्षा भेद्यता का एक प्रकार है जो हमलावरों को अन्य उपयोगकर्ताओं द्वारा देखे जाने वाले वेब पृष्ठों में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देता है।
संस्करण 2.8.6 में इस विशिष्ट भेद्यता को ठीक करने के लिए एक फिक्स शामिल है, जो संग्रहीत XSS के जोखिम को समाप्त करता है।
हमलावर को Apache Storm को टोपोलॉजी सबमिट करने के लिए प्रमाणीकरण और विशेषाधिकारों की आवश्यकता होती है।
यदि आप Apache Storm के 2.8.6 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः प्रभावित हैं। अधिक जानकारी के लिए Apache Storm दस्तावेज़ देखें।
टोपोलॉजी सबमिशन विशेषाधिकारों को प्रतिबंधित करने और UI लॉग की निगरानी करने के लिए सुरक्षा नीतियों को लागू करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।