V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-35565
CVE
Средний

Хранение поперечного сценария (XSS) через несанитированные метаданные топологии в Apache Storm UI Взлоумышленники: до 2.8.6 Описание: Компо…

CVSS
5.4
Средний
EPSS
0.00
p36
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Хранение поперечного сценария (XSS) через несанитированные метаданные топологии в Apache Storm UI Взлоумышленники: до 2.8.6 Описание: Компонент визуализации Storm UI интерполирует метаданные топологии, включая идентификаторы компонентов, имена потоков и значения группирования непосредственно в HTML через ininHTML в parseNode() и parseEdge() без дезинфекции на любом уровне. Аутентифицированный пользователь с правами на представление топологии может создать топологию, содержащую вредоносный HTML/JavaScript в идентификаторах компонентов (например, идентификатор болта, содержащий обработчик событий по ошибке). Эта полезная нагрузка проходит через Nimbus → Thrift → Visualization API → vis.js tooltip рендеринг, что приводит к накоплению сценариев кросс-сайтов.  В многопользовательских развертываниях, где представление топологии доступно для менее доверенных пользователей, но пользовательский интерфейс доступен операторам или администраторам, это позволяет эскалировать привилегии через выполнение скрипта в сеансе браузера администратора. Смягчение: 2.x пользователи должны обновиться до 2.8.6. Пользователи, которые не могут немедленно обновиться, должны поместить функции parseNode() и parseEdge() в файле визуализации JavaScript, чтобы HTML-отказаться от всех значений, поставляемых API, включая nodeId, : емкость, :задержку, :компонент, :поток и : группировку перед интерполированием в строках HTML-подсказки, и должны дополнительно ограничить представление топологии доверенным пользователям.в примечаниях к выпуску 2.8.6. Кредит: Эта проблема была обнаружена при расследовании другого отчета К.

Теги · CWE
XSS
CWE-79
CAPEC-63
CAPEC-85
CAPEC-209
CAPEC-588
CAPEC-591
CAPEC-592
Затронутые продукты
Storm 2.0.0–2.8.6
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: R
Требуется (R)
Область воздействия
S: C
Изменена (C)
Воздействие на конфиденциальность
C: L
Низкое (L)
Воздействие на целостность
I: L
Низкое (L)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.005 · p36
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
storm*Отслеживается