BDU:2021-05994

Опубликовано: 21 окт. 2021

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Высокий

Описание

Уязвимость службы getTopologyHistory системы распределенных потоковых вычислений в реальном времени Apache Storm связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем создания специально сформированного запроса к серверу Nimbus

Вендор

Apache Software Foundation

Наименование ПО

Storm

Версия ПО

от 2.2.0 до 2.2.1 (Storm)

от 2.1.0 до 2.1.1 (Storm)

от 1.0 до 1.2.4 (Storm)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://lists.apache.org/thread/ncwxn6s18pmrbklryjg7kxn3qx4wjtqr

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%

0.84614

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2021-38294

CVSS3: 9.8

nvd

больше 4 лет назад

A Command Injection vulnerability exists in the getTopologyHistory service of the Apache Storm 2.x prior to 2.2.1 and Apache Storm 1.x prior to 1.2.4. A specially crafted thrift request to the Nimbus server allows Remote Code Execution (RCE) prior to authentication.

GHSA-6768-mcjc-8223

CVSS3: 9.8

github

больше 4 лет назад

Command injection leading to Remote Code Execution in Apache Storm

EPSS

Процентиль: 99%

0.84614

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2