CVE-2021-40865

Опубликовано: 25 окт. 2021

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Средний

Описание

An Unsafe Deserialization vulnerability exists in the worker services of the Apache Storm supervisor server allowing pre-auth Remote Code Execution (RCE). Apache Storm 2.2.x users should upgrade to version 2.2.1 or 2.3.0. Apache Storm 2.1.x users should upgrade to version 2.1.1. Apache Storm 1.x users should upgrade to version 1.2.4

Ссылки

https://lists.apache.org/thread.html/r8d45e74299897b6734dd0f788c46a631009ce2eeb731523386f7a253%40%3Cuser.storm.apache.org%3E
Mailing List
Vendor Advisory
https://seclists.org/oss-sec/2021/q4/45
Mailing List
Third Party Advisory
https://lists.apache.org/thread.html/r8d45e74299897b6734dd0f788c46a631009ce2eeb731523386f7a253%40%3Cuser.storm.apache.org%3E
Mailing List
Vendor Advisory
https://seclists.org/oss-sec/2021/q4/45
Mailing List
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:storm:*:*:*:*:*:*:*:*

Версия от 1.0.0 (включая) до 1.2.4 (исключая)

cpe:2.3:a:apache:storm:*:*:*:*:*:*:*:*

Версия от 2.1.0 (включая) до 2.1.1 (исключая)

cpe:2.3:a:apache:storm:*:*:*:*:*:*:*:*

Версия от 2.2.0 (включая) до 2.2.1 (исключая)

EPSS

Процентиль: 98%

0.4622

Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-502

Связанные уязвимости

GHSA-w729-7633-2fw5

CVSS3: 9.8

github

больше 4 лет назад

Deserialization of Untrusted Data leading to Remote Code Execution in Apache Storm

BDU:2021-06339

CVSS3: 9.8

fstec

больше 4 лет назад

Уязвимость служб программной платформы для распределённых потоковых вычислений Apache Storm, позволяющая нарушителю выполнить произвольный код в целевой системе

EPSS

Процентиль: 98%

0.4622

Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-502