CVE-2024-56512В Apache NiFi версий с 1.10.0 по 2.0.0 отсутствует детализированная проверка авторизации для контекстов параметров, указанных служб контроллера и указанных поставщиков параметров при создании новых групп процессов.
Создание новой группы процессов может включать привязку к контексту параметров, но в тех случаях, когда группа процессов не ссылалась ни на какие значения параметров, платформа не проверяла авторизацию пользователя для связанного контекста параметров. Отсутствующая авторизация для связанного контекста параметров позволяла клиентам загружать неконфиденциальные значения параметров после создания группы процессов.
Создание новой группы процессов также может включать ссылку на существующие службы контроллера или поставщики параметров. Платформа не проверяла авторизацию пользователя для указанных служб контроллера или поставщиков параметров, что позволяло клиентам создавать группы процессов и использовать эти компоненты, которые в противном случае были бы неавторизованными.
Эта уязвимость ограничивается аутентифицированными пользователями, авторизованными для создания групп процессов. Область применения дополнительно ограничена развертываниями с политиками авторизации на основе компонентов. Рекомендуется перейти на Apache NiFi 2.1.0, который включает проверку авторизации для ссылок на параметры и службы контроллера при создании группы процессов.