CVE-2026-35565

Published: Apr 13, 2026 Last Modified: Apr 15, 2026

ExploitDB:

Other exploit source:

Google Dorks:

MEDIUM 5,4

Source: 134c704f-9b21-4f2e-91b3-4a467353bcc0

Attack Vector: network

Attack Complexity: low

Privileges Required: low

User Interaction: required

Scope: changed

Confidentiality: low

Integrity: low

Availability: none

Description

AI Translation Available

Stored Cross-Site Scripting (XSS) via Unsanitized Topology Metadata in Apache Storm UI

Versions Affected: before 2.8.6

Description: The Storm UI visualization component interpolates topology metadata including component IDs, stream names, and grouping values directly into HTML via innerHTML in parseNode() and parseEdge() without sanitization at any layer. An authenticated user with topology submission rights could craft a topology containing malicious HTML/JavaScript in component identifiers (e.g., a bolt ID containing an onerror event handler). This payload flows through Nimbus → Thrift → the Visualization API → vis.js tooltip rendering, resulting in stored cross-site scripting.

In multi-tenant deployments where topology submission is available to less-trusted users but the UI is accessed by operators or administrators, this enables privilege escalation through script execution in an admin's browser session.

Mitigation: 2.x users should upgrade to 2.8.6. Users who cannot upgrade immediately should monkey-patch the parseNode() and parseEdge() functions in the visualization JavaScript file to HTML-escape all API-supplied values including nodeId, :capacity, :latency, :component, :stream, and :grouping before interpolation into tooltip HTML strings, and should additionally restrict topology submission to trusted users via Nimbus ACLs as a defense-in-depth measure. A guide on how to do this is available in the release notes of 2.8.6.

Credit: This issue was discovered while investigating another report by K.

AI Generated Translation

Stored Cross-Site Scripting (XSS) tramite metadati della topologia non sanitizzati nell'Apache Storm UI

Versioni interessate: prima della 2.8.6

Descrizione: La componente di visualizzazione Storm UI interpola i metadati della topologia, inclusi ID dei componenti, nomi dei flussi e valori di raggruppamento, direttamente in HTML tramite innerHTML in parseNode() e parseEdge() senza sanitizzazione a nessun livello. Un utente autenticato con diritti di invio della topologia potrebbe creare una topologia contenente HTML/JavaScript dannoso negli identificatori dei componenti (ad esempio, un ID bolt contenente un gestore di eventi onerror). Questo payload attraversa Nimbus → Thrift → l'API di visualizzazione → il rendering dei tooltip di vis.js, risultando in un stored cross-site scripting.

In ambienti multi-tenant dove l'invio delle topologie è disponibile a utenti meno affidabili ma l'UI è accessibile da operatori o amministratori, ciò consente un escalation dei privilegi tramite l'esecuzione di script nella sessione del browser di un amministratore.

Mitigazione: Gli utenti di 2.x dovrebbero aggiornare alla versione 2.8.6. Gli utenti che non possono aggiornare immediatamente dovrebbero applicare una patch manuale alle funzioni parseNode() e parseEdge() nel file JavaScript di visualizzazione per eseguire l'escape HTML di tutti i valori forniti dall'API, inclusi nodeId, :capacity, :latency, :component, :stream e :grouping, prima dell'interpolazione nelle stringhe HTML dei tooltip, e dovrebbero inoltre limitare l'invio delle topologie a utenti affidabili tramite le ACL di Nimbus come misura di difesa in profondità. Una guida su come fare è disponibile nelle note di rilascio della versione 2.8.6.

Crediti: Questo problema è stato scoperto durante l'indagine di un altro report di K.

EPSS (Exploit Prediction Scoring System)

Trend Analysis

EPSS (Exploit Prediction Scoring System)

Prevede la probabilità di sfruttamento basata su intelligence sulle minacce e sulle caratteristiche della vulnerabilità.

EPSS Score

0,0004

Percentile

0,1th

Updated

EPSS Score Trend (Last 4 Days)

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

Stable

Abstraction: Base Structure: Simple

Common Consequences

Security Scopes Affected:

Access Control Confidentiality Integrity Availability

Potential Impacts:

Bypass Protection Mechanism Read Application Data Execute Unauthorized Code Or Commands

Applicable Platforms

Technologies: AI/ML, Web Based, Web Server

Likelihood of Exploit: High

View CWE Details

Application

Storm by Apache

Product Information

Vendor Apache

Product Storm

Version Range Affected

From 2.0.0 (inclusive)

To 2.8.6 (exclusive)

CPE Identifier

View Detailed Analysis


                  cpe:2.3:a:apache:storm:*:*:*:*:*:*:*:*

Common Platform Enumeration - Standardized vulnerability identification

http://www.openwall.com/lists/oss-security/2026/04/12/7

https://storm.apache.org/2026/04/12/storm286-released.html

CVE-2026-35565

Description

EPSS (Exploit Prediction Scoring System)

EPSS (Exploit Prediction Scoring System)

EPSS Score Trend (Last 4 Days)

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

Common Consequences

Applicable Platforms

Storm by Apache

Product Information

Iscriviti alla newsletter