K.Metrics

**Name of the Vulnerable Software and Affected Versions** Apache Storm versões anteriores a 2.8.6 **Description** Existe um problema ao processar credenciais de topologia enviadas via 'Nimbus Thrift API'. O software desserializa o blob TGT codificado em base64 usando a função `readObject()` do `ObjectInputStream` sem filtragem ou validação de classe. Um usuário autenticado com direitos de submissão de topologia pode fornecer um objeto serializado manipulado no campo de credencial `TGT`, o que pode levar à execução remota de código tanto nas JVMs do Nimbus quanto do Worker. **Recommendations** Atualizar para a versão 2.8.6. Como solução temporária, aplique um monkey-patch de uma allow-list de ObjectInputFilter em `deserializeKerberosTicket()` no ClientAuthUtils para restringir as classes desserializadas a javax.security.auth.kerberos.KerberosTicket e suas dependências conhecidas.