PT-2021-5490 · Apache · Apache Storm

Alvaro Muñoz

Publicado

2021-10-25

Atualizado

2021-11-28

CVE-2021-40865

CVSS v2.0

Crítica

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

Versões 2.2.x do Apache Storm anteriores à 2.2.1

Versões 2.1.x do Apache Storm anteriores à 2.1.1

Versões 1.x do Apache Storm anteriores à 1.2.4

Descrição

Existe uma vulnerabilidade de deserialização insegura nos serviços de trabalho do servidor supervisor do Apache Storm, permitindo a execução remota de código (RCE) sem autenticação prévia. Essa vulnerabilidade pode ser explorada por um invasor remoto para executar código arbitrário no sistema alvo.

Recomendações

Para as versões 2.2.x do Apache Storm, atualize para a versão 2.2.1 ou 2.3.0.

Para as versões 2.1.x do Apache Storm, atualize para a versão 2.1.1.

Para as versões 1.x do Apache Storm, atualize para a versão 1.2.4.

Exploit

Correção

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-502

Identificadores relacionados

BDU:2021-06339

CVE-2021-40865

GHSA-W729-7633-2FW5

OESA-2021-1415

Produtos afetados

Apache Storm

PT-2021-5490 · Apache · Apache Storm

CVE-2021-40865

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 13