MEDIUMCVE-2026-35565CVSS 5.4

Apache Storm UI: Unsanitized Topology Metadataを介したStored Cross-Site Scripting (XSS)

プラットフォーム

java

コンポーネント

org.apache.storm:storm-webapp

修正版

2.8.6

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2026-35565 describes a Stored Cross-Site Scripting (XSS) vulnerability found in the Apache Storm web UI. This vulnerability allows an authenticated user with topology submission rights to inject malicious HTML or JavaScript code into the UI through crafted topology metadata, potentially leading to unauthorized actions or data theft. The vulnerability affects versions of Apache Storm up to and including 2.8.5, but a patch is available in version 2.8.6.

影響と攻撃シナリオ

Apache Storm UI の CVE-2026-35565 は、保存型のクロスサイトスクリプティング (XSS) の脆弱性を引き起こします。これは、UI がコンポーネント ID、ストリーム名、グループ化値を含むトポロジメタデータを innerHTML を介して HTML に直接解釈し、その際にサニタイズ処理を行わないために発生します。トポロジ送信権限を持つ認証済みユーザーは、コンポーネント識別子に HTML/JavaScript コードを含む悪意のあるトポロジを作成できます。これにより、攻撃者は UI にアクセスする他のユーザーのブラウザで任意の JavaScript コードを実行し、セッション Cookie を盗んだり、悪意のあるサイトにリダイレクトしたり、影響を受けたユーザーの名義でアクションを実行したりする可能性があります。CVSS スコアは 5.4 で、中程度のリスクを示しています。

悪用の状況

攻撃者は、Apache Storm にトポロジを送信するための認証情報と権限が必要です。攻撃者が悪意のあるトポロジを送信すると、悪意のある JavaScript コードは UI のデータベースまたはキャッシュに保存されます。他のユーザーがトポロジを表示するために UI にアクセスすると、JavaScript コードがそのユーザーのブラウザで実行されます。この脆弱性は、UI の HTML にトポロジメタデータを挿入する前にサニタイズ処理が行われないことを利用して悪用されます。悪用の成功は、ターゲットユーザーのコンテキストで実行できる悪意のある JavaScript を含むトポロジを作成する攻撃者の能力に依存します。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.02% (4% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントorg.apache.storm:storm-webapp

ベンダーosv

影響範囲修正版

0 – 2.8.52.8.6

—2.8.6

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-04-03
公開日2026-04-13
更新日2026-04-14
EPSS 更新日2026-04-20

緩和策と回避策

この脆弱性に対する主な軽減策は、Apache Storm をバージョン 2.8.6 以降にアップグレードすることです。このバージョンには、トポロジメタデータを HTML で直接解釈するのを防ぐための修正が含まれています。一時的な回避策として、必須でない場合は UI でのトポロジの可視化を無効にすることを検討してください。さらに、信頼できるユーザーにトポロジ送信権限を制限するセキュリティポリシーを実装することで、攻撃対象領域を削減します。UI ログを監視して疑わしいアクティビティを検出することも、潜在的な攻撃を特定して対応するのに役立ちます。

修正方法翻訳中…

Actualice a la versión 2.8.6 o superior para mitigar la vulnerabilidad. Si no es posible actualizar inmediatamente, aplique un parche a las funciones parseNode() y parseEdge() en el archivo JavaScript de la visualización para escapar HTML de todos los valores proporcionados por la API, incluyendo nodeId, :capacity, :latency, :component, :stream y :grouping, antes de interpolarlos en las cadenas HTML de la herramienta de información.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-35565 とは何ですか？（org.apache.storm:storm-webapp の Cross-Site Scripting (XSS)）

XSS (クロスサイトスクリプティング) は、攻撃者が他のユーザーが閲覧する Web ページに悪意のあるスクリプトを挿入できるセキュリティ脆弱性の種類です。

org.apache.storm:storm-webapp の CVE-2026-35565 による影響を受けていますか？

バージョン 2.8.6 には、この特定の脆弱性を修正し、保存型の XSS のリスクを排除する修正が含まれています。

org.apache.storm:storm-webapp の CVE-2026-35565 を修正するにはどうすればよいですか？

攻撃者は、Apache Storm にトポロジを送信するための認証情報と権限が必要です。

CVE-2026-35565 は積極的に悪用されていますか？

Apache Storm のバージョン 2.8.6 より前のバージョンを使用している場合は、影響を受けている可能性が高いです。詳細については、Apache Storm のドキュメントを参照してください。

CVE-2026-35565 に関する org.apache.storm:storm-webapp の公式アドバイザリはどこで確認できますか？

トポロジ送信権限を制限し、UI ログを監視するためのセキュリティポリシーを実装してください。