CVE-2026-35337

Name of the Vulnerable Software and Affected Versions Apache Storm versões anteriores a 2.8.6

Description Existe um problema ao processar credenciais de topologia enviadas via 'Nimbus Thrift API'. O software desserializa o blob TGT codificado em base64 usando a função readObject() do ObjectInputStream sem filtragem ou validação de classe. Um usuário autenticado com direitos de submissão de topologia pode fornecer um objeto serializado manipulado no campo de credencial TGT, o que pode levar à execução remota de código tanto nas JVMs do Nimbus quanto do Worker.

Recommendations Atualizar para a versão 2.8.6. Como solução temporária, aplique um monkey-patch de uma allow-list de ObjectInputFilter em deserializeKerberosTicket() no ClientAuthUtils para restringir as classes desserializadas a javax.security.auth.kerberos.KerberosTicket e suas dependências conhecidas.