平台
java
组件
org.apache.storm:storm-webapp
修复版本
2.8.6
2.8.6
CVE-2026-35565 是 Apache Storm UI 中发现的一个存储型跨站脚本攻击 (XSS) 漏洞。该漏洞源于 Storm UI 在解析节点和边时,直接将拓扑元数据(如组件 ID、流名称和分组值)插入到 HTML 中,而未进行任何过滤或转义。攻击者可以通过提交包含恶意 HTML/JavaScript 代码的拓扑结构来利用此漏洞,从而在其他用户的浏览器中执行恶意脚本。该漏洞影响 Apache Storm 2.8.5 及更早版本,目前已在 2.8.6 版本中修复。
Apache Storm UI 中的 CVE-2026-35565 引入了一种存储型跨站脚本 (XSS) 漏洞。这是因为 UI 会直接将拓扑元数据(包括组件 ID、流名称和分组值)通过 innerHTML 插入到 HTML 中,而没有进行任何清理。具有拓扑提交权限的经过身份验证的用户可以创建包含组件标识符中的 HTML/JavaScript 代码的恶意拓扑。这使得攻击者可以在访问 UI 的其他用户的浏览器中执行任意 JavaScript 代码,从而可能窃取会话 cookie、重定向到恶意网站或代表受影响的用户执行操作。CVSS 分数为 5.4,表明中等风险。
攻击者需要具有进行身份验证和提交拓扑的权限。一旦攻击者提交了恶意拓扑,恶意 JavaScript 代码就会存储在 UI 的数据库或缓存中。当其他用户访问 UI 以查看拓扑时,JavaScript 代码会在他们的浏览器中执行。此漏洞是利用了在将拓扑元数据插入到 UI 的 HTML 之前没有对其进行清理的事实。利用成功的关键在于攻击者是否能够创建一个包含可以在目标用户上下文中执行的恶意 JavaScript 的拓扑。
漏洞利用状态
EPSS
0.02% (4% 百分位)
CVSS 向量
此漏洞的主要缓解措施是将 Apache Storm 升级到 2.8.6 或更高版本。此版本包含修复程序,以防止直接在 HTML 中解释拓扑元数据。作为临时解决方法,请考虑在 UI 中禁用拓扑可视化,如果它不是必需的。此外,实施安全策略,将拓扑提交权限限制到受信任的用户,从而减少攻击面。监控 UI 日志以检测可疑活动也可以帮助识别和响应潜在攻击。
Actualice a la versión 2.8.6 o superior para mitigar la vulnerabilidad. Si no es posible actualizar inmediatamente, aplique un parche a las funciones parseNode() y parseEdge() en el archivo JavaScript de la visualización para escapar HTML de todos los valores proporcionados por la API, incluyendo nodeId, :capacity, :latency, :component, :stream y :grouping, antes de interpolarlos en las cadenas HTML de la herramienta de información.
漏洞分析和关键警报直接发送到您的邮箱。
XSS (跨站脚本) 是一种安全漏洞,允许攻击者将恶意脚本注入到其他用户查看的 Web 页面中。
2.8.6 版本包含此特定漏洞的修复程序,从而消除了存储型 XSS 的风险。
攻击者需要进行身份验证并具有提交拓扑到 Apache Storm 的权限。
如果您使用的是 Apache Storm 的 2.8.6 之前的版本,则很可能受到影响。请参阅 Apache Storm 文档以获取更多信息。
实施安全策略以限制拓扑提交权限并监控 UI 日志。
上传你的 pom.xml 文件,立即知道是否受影响。