漏洞概述 CVE-2026-35337 - 未信任数据反序列化漏洞 描述: 当处理通过Nimbus Thrift API提交的拓扑凭证时,Storm会反序列化base64编码的TGT密钥,使用 ,没有进行任何类过滤或验证。具有拓扑提交权限的已认证用户可以提供一个精心构造的序列化对象,在“TGT”凭证字段中,导致在Nimbus和Worker JVM中执行远程代码。 影响范围: 版本低于2.8.6 修复方案: 2.x用户应升级到2.8.6。无法立即升级的用户应猴子补丁 的 到 ,限制反序列化的类为 及其已知依赖项;详见链接。 发现者: K CVE-2026-35565 - 通过未过滤拓扑元数据在Storm UI中存储的跨站脚本(XSS) 描述: Storm UI可视化组件将拓扑元数据(包括组件ID、流名称和分组值)直接插入到HTML中,通过 在 和 中,没有任何转义。具有拓扑提交权限的已认证用户可以创建一个包含恶意HTML/JavaScript的拓扑,在组件标识符中,导致存储的跨站脚本。在多租户部署中,这允许通过脚本执行在管理员浏览器中的权限提升。 影响范围: 版本低于2.8.6 修复方案: 2.x用户应升级到2.8.6。无法立即升级的用户应猴子补丁相关的转义;详见链接。 发现者: K 修复方案 升级到Apache Storm 2.8.6版本。 对于无法立即升级的用户,采取上述提到的猴子补丁措施。 POC代码或利用代码 页面中未提供具体的POC代码或利用代码。