GHSA-w729-7633-2fw5

Опубликовано: 27 окт. 2021

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Deserialization of Untrusted Data leading to Remote Code Execution in Apache Storm

An Unsafe Deserialization vulnerability exists in the worker services of the Apache Storm supervisor server allowing pre-auth Remote Code Execution (RCE). Apache Storm 2.2.x users should upgrade to version 2.2.1 or 2.3.0. Apache Storm 2.1.x users should upgrade to version 2.1.1. Apache Storm 1.x users should upgrade to version 1.2.4

Ссылки

Пакеты

Наименование

org.apache.storm:storm

maven

Затронутые версииВерсия исправления

>= 2.2.0, < 2.2.1

2.2.1

Наименование

org.apache.storm:storm

maven

Затронутые версииВерсия исправления

>= 1.0.0, < 1.2.4

1.2.4

Наименование

org.apache.storm:storm

maven

Затронутые версииВерсия исправления

>= 2.1.0, < 2.1.1

2.1.1

EPSS

Процентиль: 98%

0.4622

Средний

9.8 Critical

CVSS3

CVE ID

CVE-2021-40865

Дефекты

CWE-502

Связанные уязвимости

CVE-2021-40865

CVSS3: 9.8

nvd

больше 4 лет назад

BDU:2021-06339

CVSS3: 9.8

fstec

больше 4 лет назад

Уязвимость служб программной платформы для распределённых потоковых вычислений Apache Storm, позволяющая нарушителю выполнить произвольный код в целевой системе

EPSS

Процентиль: 98%

0.4622

Средний

9.8 Critical

CVSS3

CVE ID

CVE-2021-40865

Дефекты

CWE-502