Plataforma
java
Componente
org.apache.storm:storm-client
Corrigido em
2.8.6
2.8.6
CVE-2026-35337 describes an Insecure Deserialization vulnerability found in Apache Storm, specifically when processing topology credentials through the Nimbus Thrift API. This flaw allows an authenticated user to potentially execute arbitrary code on both the Nimbus and Worker JVMs by submitting a crafted serialized object. Versions affected are those prior to 2.8.6; upgrading to version 2.8.6 is the recommended fix.
A vulnerabilidade CVE-2026-35337 no Apache Storm Client afeta versões anteriores a 2.8.6. Ela permite a execução remota de código (RCE) através da desserialização de dados não confiáveis. Um usuário autenticado com permissões para submeter topologias pode criar um objeto serializado malicioso dentro do campo 'TGT' das credenciais. Este objeto é então desserializado usando ObjectInputStream.readObject() tanto no Nimbus quanto no Worker, sem nenhuma filtragem ou validação de classe, permitindo a execução de código arbitrário. A pontuação CVSS para esta vulnerabilidade é 8.8, indicando um risco de alta severidade. A exploração bem-sucedida pode levar ao controle completo do cluster Storm.
A vulnerabilidade é explorada através da API Nimbus Thrift, especificamente ao submeter uma topologia com credenciais manipuladas. O atacante precisa se autenticar e ter permissões para submeter topologias. O ataque envolve a criação de um objeto serializado malicioso que, ao ser desserializado, executa código arbitrário no servidor Nimbus ou Worker. A complexidade do ataque é relativamente baixa, exigindo apenas a manipulação de um campo no pedido da API. Embora a autenticação limite o escopo do ataque, a possibilidade de RCE o torna uma ameaça significativa. A falta de validação de classe durante a desserialização é a causa raiz da vulnerabilidade.
Status do Exploit
EPSS
0.42% (percentil 62%)
Vetor CVSS
A principal mitigação para CVE-2026-35337 é atualizar o Apache Storm Client para a versão 2.8.6 ou superior. Esta versão inclui correções para evitar a desserialização insegura de dados. Como medida temporária, restrinja o acesso à API Nimbus Thrift a usuários e sistemas confiáveis. Implementar um Firewall de Aplicações Web (WAF) para inspecionar e filtrar o tráfego de entrada em busca de padrões maliciosos também é recomendado. Monitorar os logs do Nimbus e do Worker em busca de atividades suspeitas pode ajudar a detectar e responder a possíveis ataques. A atualização é a solução mais eficaz e recomendada.
Actualice a la versión 2.8.6 de Apache Storm. Si no puede actualizar inmediatamente, aplique un parche a ObjectInputFilter para restringir las clases deserializadas a javax.security.auth.kerberos.KerberosTicket y sus dependencias conocidas, siguiendo las instrucciones en las notas de la versión 2.8.6.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Apache Storm é um sistema de computação em tempo real distribuído de código aberto.
Ela permite a execução remota de código, potencialmente comprometendo a segurança de todo o cluster Storm.
Restrinja o acesso à API Nimbus Thrift e monitore os logs em busca de atividades suspeitas.
Ferramentas de scanner de vulnerabilidades podem detectar a versão do Storm e alertar sobre esta vulnerabilidade.
Se sua versão for anterior a 2.8.6, ela é vulnerável.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.