漏洞信息
# Apache NiFi:使用H2的数据库服务中的潜在代码注入漏洞
## 概述
Apache NiFi 中的 DBCPConnectionPool 和 HikariCPConnectionPool 控制服务允许经过身份验证和授权的用户配置一个启用自定义代码执行的 H2 驱动程序的数据库 URL。
## 影响版本
- Apache NiFi 0.0.2 至 1.21.0
## 细节
该漏洞涉及 DBCPConnectionPool 和 HikariCPConnectionPool 控制服务中的配置问题,特定的数据库 URL 可以启用 H2 驱动程序的自定义代码执行。这一问题可以通过验证数据库 URL 并拒绝 H2 JDBC 地址来解决。
## 影响
经过身份验证和授权的用户可以利用该漏洞配置特定的数据库 URL,进而执行自定义代码。建议升级到 1.22.0 或更高版本以修复该问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache NiFi: Potential Code Injection with Database Services using H2
漏洞描述信息
The DBCPConnectionPool and HikariCPConnectionPool Controller Services in Apache NiFi 0.0.2 through 1.21.0 allow an authenticated and authorized user to configure a Database URL with the H2 driver that enables custom code execution.
The resolution validates the Database URL and rejects H2 JDBC locations.
You are recommended to upgrade to version 1.22.0 or later which fixes this issue.
CVSS信息
N/A
漏洞类别
对生成代码的控制不恰当(代码注入)
漏洞标题
Apache NiFi 代码注入漏洞
漏洞描述信息
Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。 Apache NiFi 0.0.2版本至1.21.0版本存在代码注入漏洞,该漏洞源于允许经过身份验证和授权的用户使用支持自定义代码执行的H2驱动程序配置数据库URL。
CVSS信息
N/A
漏洞类别
代码注入