Platform
java
Component
org.apache.storm:storm-webapp
Opgelost in
2.8.6
2.8.6
CVE-2026-35565 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in de Apache Storm UI. Deze kwetsbaarheid stelt een geauthenticeerde gebruiker met rechten om topologies in te dienen in staat om malafide HTML/JavaScript te injecteren in component identifiers, wat kan leiden tot scriptuitvoering in de browser van andere gebruikers. De kwetsbaarheid treedt op in versies van Apache Storm UI vóór 2.8.6. Een patch is beschikbaar in versie 2.8.6.
CVE-2026-35565 in de Apache Storm UI introduceert een opgeslagen Cross-Site Scripting (XSS)-kwetsbaarheid. Dit komt doordat de UI topologiemetagegevens, waaronder component-ID's, streamnamen en groepswaarden, direct in HTML interpreteert via innerHTML zonder enige sanitatie. Een geauthenticeerde gebruiker met topologie-indieningsbevoegdheden kan een kwaadaardige topologie maken die HTML-/JavaScript-code in component-identificatoren bevat. Dit stelt een aanvaller in staat om willekeurige JavaScript uit te voeren in de browsers van andere gebruikers die toegang hebben tot de UI, mogelijk sessiecookies te stelen, door te verwijzen naar kwaadaardige sites of namens de getroffen gebruiker acties uit te voeren. De CVSS-score is 5,4, wat een gemiddeld risico aangeeft.
Een aanvaller heeft authenticatie en bevoegdheden nodig om topologieën naar Apache Storm te verzenden. Zodra de aanvaller een kwaadaardige topologie heeft verzonden, wordt de kwaadaardige JavaScript-code opgeslagen in de database of cache van de UI. Wanneer andere gebruikers toegang hebben tot de UI om de topologie te bekijken, wordt de JavaScript-code in hun browsers uitgevoerd. De kwetsbaarheid wordt uitgebuit door te profiteren van het ontbreken van sanitatie van topologiemetagegevens voordat deze in de HTML van de UI worden ingevoegd. Het succes van de exploitatie hangt af van het vermogen van de aanvaller om een topologie te creëren die kwaadaardige JavaScript bevat die in de context van de doelgebruiker kan worden uitgevoerd.
Exploit Status
EPSS
0.02% (4% percentiel)
CVSS-vector
De belangrijkste mitigatie voor deze kwetsbaarheid is het upgraden van Apache Storm naar versie 2.8.6 of hoger. Deze versie bevat fixes om te voorkomen dat topologiemetagegevens direct in HTML worden geïnterpreteerd. Als tijdelijke workaround, overweeg dan om de topologievisualisatie in de UI uit te schakelen als deze niet essentieel is. Implementeer bovendien beveiligingsbeleid die de bevoegdheden voor het indienen van topologieën beperken tot vertrouwde gebruikers, waardoor de aanvalsoppervlakte wordt verminderd. Het monitoren van UI-logboeken op verdachte activiteiten kan ook helpen bij het identificeren en reageren op potentiële aanvallen.
Actualice a la versión 2.8.6 o superior para mitigar la vulnerabilidad. Si no es posible actualizar inmediatamente, aplique un parche a las funciones parseNode() y parseEdge() en el archivo JavaScript de la visualización para escapar HTML de todos los valores proporcionados por la API, incluyendo nodeId, :capacity, :latency, :component, :stream y :grouping, antes de interpolarlos en las cadenas HTML de la herramienta de información.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in webpagina's kunnen injecteren die door andere gebruikers worden bekeken.
Versie 2.8.6 bevat een fix voor deze specifieke kwetsbaarheid en elimineert zo het risico van opgeslagen XSS.
De aanvaller heeft authenticatie en bevoegdheden nodig om topologieën naar Apache Storm te verzenden.
Als u een versie van Apache Storm gebruikt die vóór 2.8.6 is uitgebracht, is de kans groot dat u getroffen bent. Raadpleeg de Apache Storm-documentatie voor meer informatie.
Implementeer beveiligingsbeleid om de bevoegdheden voor het indienen van topologieën te beperken en de UI-logboeken te monitoren.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.