Platform
java
Component
org.apache.storm:storm-client
Opgelost in
2.8.6
2.8.6
CVE-2026-35337 describes an Insecure Deserialization vulnerability found in Apache Storm, specifically when processing topology credentials through the Nimbus Thrift API. This flaw allows an authenticated user to potentially execute arbitrary code on both the Nimbus and Worker JVMs by submitting a crafted serialized object. Versions affected are those prior to 2.8.6; upgrading to version 2.8.6 is the recommended fix.
CVE-2026-35337 in Apache Storm Client treft versies ouder dan 2.8.6. Het maakt Remote Code Execution (RCE) mogelijk door de deserialisatie van onbetrouwbare gegevens. Een geauthenticeerde gebruiker met topologie-indieningsrechten kan een kwaadaardig geserialiseerd object creëren binnen het 'TGT'-veld van de inloggegevens. Dit object wordt vervolgens deserialiseerd met behulp van ObjectInputStream.readObject() in zowel de Nimbus- als de Worker-nodes, zonder klassefiltering of -validatie, waardoor willekeurige code kan worden uitgevoerd. De CVSS-score voor deze kwetsbaarheid is 8,8, wat een hoog risico aangeeft. Een succesvolle exploitatie kan leiden tot volledige controle over de Storm-cluster.
De kwetsbaarheid wordt uitgebuit via de Nimbus Thrift API, met name bij het indienen van een topologie met gemanipuleerde inloggegevens. De aanvaller moet zich authenticeren en over topologie-indieningsrechten beschikken. De aanval omvat het creëren van een kwaadaardig geserialiseerd object dat, bij deserialisatie, willekeurige code op de Nimbus- of Worker-server uitvoert. De complexiteit van de aanval is relatief laag, omdat alleen een veld in de API-aanvraag gemanipuleerd hoeft te worden. Hoewel authenticatie de reikwijdte van de aanval beperkt, maakt de mogelijkheid van RCE het tot een aanzienlijke bedreiging. Het ontbreken van klassevalidatie tijdens deserialisatie is de hoofdoorzaak van de kwetsbaarheid.
Exploit Status
EPSS
0.42% (62% percentiel)
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-35337 is het upgraden van Apache Storm Client naar versie 2.8.6 of hoger. Deze versie bevat fixes om onveilige deserialisatie van gegevens te voorkomen. Als tijdelijke maatregel, beperk de toegang tot de Nimbus Thrift API tot vertrouwde gebruikers en systemen. Het is ook aan te raden een Web Application Firewall (WAF) te implementeren om inkomend verkeer te inspecteren en te filteren op kwaadaardige patronen. Het monitoren van Nimbus- en Worker-logs op verdachte activiteiten kan helpen bij het detecteren en reageren op potentiële aanvallen. Het upgraden is de meest effectieve en aanbevolen oplossing.
Actualice a la versión 2.8.6 de Apache Storm. Si no puede actualizar inmediatamente, aplique un parche a ObjectInputFilter para restringir las clases deserializadas a javax.security.auth.kerberos.KerberosTicket y sus dependencias conocidas, siguiendo las instrucciones en las notas de la versión 2.8.6.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Apache Storm is een gedistribueerd real-time computationeel systeem met open source.
Het maakt Remote Code Execution mogelijk, waardoor de beveiliging van de gehele Storm-cluster mogelijk in gevaar komt.
Beperk de toegang tot de Nimbus Thrift API en monitor de logs op verdachte activiteiten.
Kwetsbaarheidsscanners kunnen de Storm-versie detecteren en waarschuwen voor deze kwetsbaarheid.
Als uw versie ouder is dan 2.8.6, is deze kwetsbaar.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.