Nifi
Уязвимости
56
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.7795
Распределение по критичности
Критический
3
Высокий
25
Средний
27
Низкий
1
Затронутые диапазоны версий
0.0.1–1.11.00.0.1–1.16.00.0.2–1.22.00.1.0–1.15.10.7.0–1.24.01.0.0–1.10.01.0.0–1.11.41.0.0–1.4.01.0.0–1.6.01.0.0–1.7.11.0.0–1.9.21.1.0–2.8.01.10.0–1.16.21.10.0–1.27.01.10.0–1.28.01.10.0–2.1.01.13.0–2.3.01.14.0–1.16.01.16.0–1.28.11.2.0–1.19.11.20.0–2.7.01.21.0–1.23.11.3.0–1.9.21.7.0–1.12.1
Также сопоставлено как (исходные строки): spark,nifi,nifi_registry,commons_beanutils
Топ уязвимостей
CVE-2018-1309Проблема Apache NiFi External XML Entity в процессоре SplitXML. Вредоносное XML-содержимое может вызвать раскрытие информации или удаленное выполнение кода. Исправление для отключения анализа внешних общих сущностей и запрета объявлений doctype было применено в выпуске Apache NiFi 1.6.0. Пользователям, использующим предыдущий выпуск 1.x, следует обновиться до соответствующего выпуска.
CVE-2017-5636В Apache NiFi до версии 0.7.2 и 1.x до версии 1.1.2 в кластерной среде сериализация/десериализация цепочки прокси уязвима для атаки внедрения, когда тщательно созданное имя пользователя может выдавать себя за другого пользователя и получать его разрешения на реплицированный запрос к другому узлу.
CVE-2017-15697Вредоносный заголовок X-ProxyContextPath или X-Forwarded-Context, содержащий внешние ресурсы или встроенный код, может привести к удаленному выполнению кода. Исправление для правильной обработки этих заголовков было применено в выпуске Apache NiFi 1.5.0. Пользователям, использующим более ранний выпуск 1.x, следует обновиться до соответствующего выпуска.
CVE-2023-36542Apache NiFi 0.0.2 до 1.22.0 включает процессоры и сервисы управления, которые поддерживают ссылки на HTTP URL для получения драйверов, что позволяет аутентифицированному и авторизованному пользователю настраивать местоположение, которое позволяет выполнять пользовательский код. Результатом является введение нового необходимого разрешения для ссылки на удаленные ресурсы, ограничивающего конфигурацию этих компонентов для привилегированных пользователей. Это разрешение предотвращает не привилегированных пользователей от настройки процессоров и сервисов управления, помеченных новым ограничением на ссылку на удаленные ресурсы. Рекомендуется обновление до Apache NiFi 1.23.0.
CVE-2023-34468Службы контроллера DBCPConnectionPool и HikariCPConnectionPool в Apache NiFi с версии 0.0.2 до 1.21.0 позволяют аутентифицированному и авторизованному пользователю конфигурировать URL базы данных с драйвером H2, что позволяет выполнять произвольный код.
Решение проверяет URL базы данных и отклоняет H2 JDBC адреса.
Рекомендуется обновиться до версии 1.22.0 или более поздней, которая исправляет эту проблему.
CVE-2022-33140Дополнительный ShellUserGroupProvider в Apache NiFi 1.10.0–1.16.2 и Apache NiFi Registry 0.6.0–1.16.2 не нейтрализует аргументы для команд разрешения групп, что позволяет внедрять команды операционной системы на платформах Linux и macOS. ShellUserGroupProvider не включен в конфигурацию по умолчанию. Для внедрения команд требуется, чтобы ShellUserGroupProvider был одним из включенных поставщиков групп пользователей в конфигурации Authorizers. Для внедрения команд также требуется аутентифицированный пользователь с повышенными привилегиями. Apache NiFi требует аутентифицированного пользователя с авторизацией на изменение политик доступа для выполнения команды. Apache NiFi Registry требует аутентифицированного пользователя с авторизацией на чтение групп пользователей для выполнения команды. Решение удаляет форматирование команд на основе предоставленных пользователем аргументов.
CVE-2019-12421При использовании механизма аутентификации, отличного от PKI, когда пользователь нажимает кнопку "Выйти" в NiFi версий 1.0.0 - 1.9.2, NiFi делает недействительным токен аутентификации на стороне клиента, но не на стороне сервера. Это позволяет использовать токен на стороне клиента пользователя в течение 12 часов после выхода из системы для выполнения API-запросов к NiFi.
BDU:2023-06376Уязвимость компонента Remote Resource Handler платформы обработки данных Apache NiFi связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
BDU:2023-06240Уязвимость cлужб контроллеров DBCPConnectionPool и HikariCPConnectionPool платформы обработки данных Apache NiFi связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
CVE-2026-25903Apache NiFi 1.1.0 - 2.7.2 отсутствуют авторизация при обновлении свойств конфигурации на удлинительных компонентах, которые имеют конкретные требуемые разрешения на основе Ограниченной аннотации. В аннотации с ограниченным доступом указаны дополнительные привилегии, необходимые для добавления аннотированного компонента в конфигурацию потока, но фреймворк-авентация не проверяла ограниченный статус при обновлении ранее добавленного компонента. Отсутствующая авторизация требует, чтобы более привилегированный пользователь добавил ограниченный компонент в конфигурацию потока, но позволяет менее привилегированному пользователю вносить изменения конфигурации свойства. Установки Apache NiFi, которые не реализуют различные уровни авторизации для компонентов с ограниченным доступом, не подвержены этой уязвимости, поскольку структура обеспечивает соблюдение разрешений на запись в качестве границы безопасности. Обновление до Apache NiFi 2.8.0 является рекомендуемым смягчающим.
BDU:2026-02444Уязвимость платформы обработки данных Apache NiFi связана с отсутствием авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
CVE-2021-20190Обнаружена уязвимость в jackson-databind версий до 2.9.10.7. FasterXML неправильно обрабатывает взаимодействие между гаджетами сериализации и типизацией. Наибольшая угроза от этой уязвимости заключается в конфиденциальности и целостности данных, а также в доступности системы.
BDU:2023-09120Уязвимость компонента JoltTransform платформы обработки данных Apache NiFi связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки
CVE-2026-39816В дополнительном компоненте расширения TinkerpopClientService отсутствует ограниченная аннотация с требуемым разрешением на код Выполнения в Apache NiFi 2.0.0-M1 до 2.8.0. TinkerpopClientService поддерживает конфигурацию ByteCode Submission для типа представления скрипта, что позволяет выполнять Gropy Script в службе до подачи запроса. Отсутствующая ограниченная аннотация позволяет пользователям без разрешения на Исполнение Кода настроить Сервис в установках, использующих мелкозернистую авторизацию и оснащенных дополнительным TinkerpopClientService. Установки Apache NiFi, не имеющие установки nfi-other-граф-сервисов-наркоторговли, не подвержены этой уязвимости. Обновление до Apache NiFi 2.9.0 является рекомендуемым смягчением.
CVE-2025-66524Apache NiFi 1.20.0 - 2.6.0 включает в себя процессор GetAsanaObject, который требует интеграции с настраиваемым сервисом клиентов Distribute Map Cache для хранения и извлечения информации о состоянии. Процессор GetAsanaObject использовал общую серию и дезериаизацию Java Object без фильтрации. Нефильтрованная дезериализация объектов Java не обеспечивает защиту от созданной информации о состоянии, хранящейся на сервере кэша, настроенной для GetAsanaObject. Эксплуатация требует системы Apache NiFi, работающей с процессором GetAsanaObject, и прямого доступа к сконфигурированному серверу кэша. Обновление до Apache NiFi 2.7.0 является рекомендуемым смягчением, которое заменяет сериализацию Java Object на сериализованность JSON. Удаление процессора GetAsanaObject, расположенного в комплекте nifi-asana-processors-nar, также предотвращает эксплуатацию.
CVE-2023-22832Процессор ExtractCCDAAttributes в Apache NiFi 1.2.0 - 1.19.1 не ограничивает ссылки на внешние XML-сущности.
Конфигурации потоков, включающие процессор ExtractCCDAAttributes, уязвимы для вредоносных XML-документов, содержащих объявления типа документа со ссылками на внешние XML-сущности.
Решение отключает объявления типа документа и запрещает разрешение внешних XML-сущностей в процессоре ExtractCCDAAttributes.
CVE-2022-29265Множественные компоненты в Apache NiFi версий от 0.0.1 до 1.16.0 не ограничивают ссылки на внешние XML-сущности в конфигурации по умолчанию. Служба Standard Content Viewer пытается разрешить ссылки на внешние XML-сущности при просмотре отформатированных XML-файлов. Следующие процессоры пытаются разрешить ссылки на внешние XML-сущности при настройке со значениями свойств по умолчанию: - EvaluateXPath - EvaluateXQuery - ValidateXml. Конфигурации потоков Apache NiFi, включающие эти процессоры, уязвимы для вредоносных XML-документов, содержащих объявления типа документа со ссылками на внешние XML-сущности. Разрешение отключает объявления типа документа в конфигурации по умолчанию для этих процессоров и запрещает разрешение внешних XML-сущностей в стандартных службах.
CVE-2020-9491В Apache NiFi 1.2.0 до 1.11.4 пользовательский интерфейс и API NiFi были защищены путем обязательного использования TLS v1.2, а также прослушивания соединений, установленных процессорами, такими как ListenHTTP, HandleHttpRequest и т. д. Однако внутрикластерная связь, такая как репликация запросов кластера, Site-to-Site и очереди с балансировкой нагрузки, продолжала поддерживать TLS v1.0 или v1.1.
CVE-2020-9487В Apache NiFi 1.0.0 до 1.11.4 механизм токена загрузки NiFi (одноразовый пароль) использовал фиксированный размер кэша и не аутентифицировал запрос на создание токена загрузки, только при попытке использовать токен для доступа к контенту. Неаутентифицированный пользователь мог многократно запрашивать токены загрузки, препятствуя запросу токенов загрузки законными пользователями.
CVE-2020-9486В Apache NiFi 1.10.0 до 1.11.4 механизм бессерверного выполнения NiFi выдавал журнальный вывод, который включал конфиденциальные значения свойств. При запуске потока печатался JSON конфигурации определения потока, потенциально содержащий конфиденциальные значения в виде открытого текста.
CVE-2020-1942В Apache NiFi с 0.0.1 по 1.11.0 фабрика отпечатков потока генерировала отпечатки потока, которые включали значения дескриптора конфиденциальных свойств. В случае, если узел пытался присоединиться к кластеру, и поток кластера не был наследуемым, отпечаток потока как кластера, так и локального потока выводился на печать, потенциально содержащий конфиденциальные значения в виде обычного текста.
CVE-2018-17195Конечная точка API загрузки шаблонов принимала запросы из другого домена при отправке в сочетании с ARP-спуфингом + атакой "человек посередине" (MiTM), что приводило к CSRF-атаке. Требуемый вектор атаки является сложным, требующим сценария с аутентификацией сертификата клиента, доступом к той же подсети и внедрением вредоносного кода на незащищенный (обычный HTTP) веб-сайт, который позже посещает целевой пользователь, но возможный ущерб оправдывал серьезный уровень серьезности. Решение: Исправление для применения фильтрации запросов политики Cross-Origin Resource Sharing (CORS) было применено в выпуске Apache NiFi 1.8.0. Пользователям, использующим более ранний выпуск 1.x, следует обновиться до соответствующего выпуска.
CVE-2018-17194Когда запрос клиента к узлу кластера реплицировался на другие узлы в кластере для проверки, Content-Length пересылался. В запросе DELETE тело игнорировалось, но если начальный запрос имел значение Content-Length, отличное от 0, принимающие узлы ожидали бы тело и в конечном итоге истекло бы время ожидания. Решение: Исправление для проверки запросов DELETE и перезаписи ненулевых значений заголовка Content-Length было применено в выпуске Apache NiFi 1.8.0. Пользователям, использующим более ранний выпуск 1.x, следует обновиться до соответствующего выпуска.
CVE-2018-1310Проблема десериализации JMS в Apache NiFi из-за уязвимости клиента ActiveMQ. Вредоносное содержимое JMS может вызвать отказ в обслуживании. Дополнительные сведения см. в объявлении ActiveMQ CVE-2015-5254. Исправление для обновления библиотеки activemq-client до 5.15.3 было применено в выпуске Apache NiFi 1.6.0. Пользователям, использующим предыдущий выпуск 1.x, следует обновиться до соответствующего выпуска.
CVE-2017-7667Apache NiFi до версии 0.7.4 и 1.x до версии 1.3.0 необходимо установить заголовок ответа, указывающий браузерам разрешать фрейминг только с тем же источником.