【中危】 Apache NiFi 连接 URL 验证绕过漏洞 (CVE-2023-40037)
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
Apache NiFi是一个开源的数据流处理和自动化工具。受影响版本中的多个Processors和Controller Services在配置JDBC和JNDI JMS连接时存在URL参数过滤不完全的漏洞,攻击者可以通过构造特定格式绕过连接URL验证,可能导致数据泄露等危害。漏洞影响范围为org.apache.nifi:nifi-nar-bundles@[1.21.0, 1.23.1),修复方案是升级组件org.apache.nifi:nifi-nar-bundles到1.23.1或更高版本。
🎯
关键要点
- Apache NiFi是一个开源的数据流处理和自动化工具。
- 受影响版本中的多个Processors和Controller Services在配置JDBC和JNDI JMS连接时存在URL参数过滤不完全的漏洞。
- 攻击者可以通过构造特定格式绕过连接URL验证,可能导致数据泄露等危害。
- 漏洞影响范围为org.apache.nifi:nifi-nar-bundles@[1.21.0, 1.23.1)。
- 修复方案是将组件org.apache.nifi:nifi-nar-bundles升级到1.23.1或更高版本。
- 墨菲安全是一家提供软件供应链安全管理的科技公司,提供完整的软件供应链安全管理平台。
➡️
