Описание
A Command Injection vulnerability exists in the getTopologyHistory service of the Apache Storm 2.x prior to 2.2.1 and Apache Storm 1.x prior to 1.2.4. A specially crafted thrift request to the Nimbus server allows Remote Code Execution (RCE) prior to authentication.
Ссылки
- ExploitThird Party AdvisoryVDB Entry
- Mailing ListVendor Advisory
- Mailing ListThird Party Advisory
- ExploitThird Party AdvisoryVDB Entry
- Mailing ListVendor Advisory
- Mailing ListThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 1.0.0 (включая) до 1.2.4 (исключая)Версия от 2.1.0 (включая) до 2.1.1 (исключая)Версия от 2.2.0 (включая) до 2.2.1 (исключая)
Одно из
cpe:2.3:a:apache:storm:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:storm:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:storm:*:*:*:*:*:*:*:*
EPSS
Процентиль: 99%
0.84614
Высокий
9.8 Critical
CVSS3
7.5 High
CVSS2
Дефекты
CWE-74
CWE-78
Связанные уязвимости
CVSS3: 9.8
github
больше 4 лет назад
Command injection leading to Remote Code Execution in Apache Storm
CVSS3: 9.8
fstec
больше 4 лет назад
Уязвимость службы getTopologyHistory системы распределенных потоковых вычислений в реальном времени Apache Storm, позволяющая нарушителю выполнить произвольный код
EPSS
Процентиль: 99%
0.84614
Высокий
9.8 Critical
CVSS3
7.5 High
CVSS2
Дефекты
CWE-74
CWE-78