CVE-2026-35565

Name of the Vulnerable Software and Affected Versions Apache Storm versões anteriores a 2.8.6

Description O componente de visualização da Storm UI interpola metadados de topologia, como IDs de componentes, nomes de fluxos e valores de agrupamento, diretamente no HTML via innerHTML nas funções parseNode() e parseEdge() sem sanitização. Um usuário autenticado com direitos de submissão de topologia pode criar uma topologia contendo HTML ou JavaScript malicioso em identificadores de componentes. Esse payload é transmitido através do Nimbus, Thrift e da API de Visualização para a renderização de tooltips do vis.js, resultando em cross-site scripting armazenado. Em implantações multi-tenant, isso pode permitir a escalada de privilégios se a interface for acessada por operadores ou administradores.

Recommendations Atualizar para a versão 2.8.6. Como solução temporária, aplique um monkey-patch nas funções parseNode() e parseEdge() no arquivo JavaScript de visualização para escapar em HTML todos os valores fornecidos pela API, incluindo nodeId, :capacity, :latency, :component, :stream e :grouping antes da interpolação nas strings HTML de tooltips. Restrinja a submissão de topologias a usuários confiáveis via ACLs do Nimbus como uma medida de defesa em profundidade.