CVE-2026-40557

Nome do Software Vulnerável e Versões Afetadas Apache Storm versões 2.6.3 a 2.8.6

Descrição Ocorre uma validação inadequada de certificado no Prometheus Reporter quando a configuração storm.daemon.metrics.reporter.plugin.prometheus.skip tls validation está habilitada. A classe PrometheusPreparableReporter utiliza um INSECURE TRUST MANAGER que aceita todos os certificados SSL sem validação, por meio de métodos checkClientTrusted e checkServerTrusted vazios. Quando a configuração mencionada está ativa, o INSECURE CONNECTION FACTORY executa SSLContext.setDefault(sslContext), o que substitui o contexto SSL padrão de toda a Java Virtual Machine (JVM) em vez de limitar o contexto inseguro apenas à conexão do Prometheus. Consequentemente, todas as comunicações HTTPS no processo — incluindo conexões ZooKeeper, Thrift, Netty e UI — confiam em todos os certificados, inclusive os autoassinados ou gerados por atacantes, permitindo a interceptação man-in-the-middle de credenciais administrativas, submissões de topologia, estado do cluster e dados de tuplas.

Recomendações Atualizar para a versão 2.8.7. Remover a configuração storm.daemon.metrics.reporter.plugin.prometheus.skip tls validation: true do arquivo storm.yaml e configurar um truststore adequado contendo o certificado do PushGateway.