关联漏洞
标题:Apache NiFi 安全漏洞 (CVE-2024-56512)Description:Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。 Apache NiFi 1.10.0至2.0.0版本存在安全漏洞,该漏洞源于在创建新的Process Groups时缺少对Parameter Contexts、引用的Controller Services和引用的Parameter Providers的细粒度授权检查。
Description
Apache NiFi 1.10.0 through 2.0.0 are missing fine-grained authorization checking for Parameter Contexts, referenced Controller Services, and referenced Parameter Providers, when creating new Process Groups. Creating a new Process Group can include binding to a Parameter Context, but in cases where the Process Group did not reference any Parameter values, the framework did not check user authorization for the bound Parameter Context. Missing authorization for a bound Parameter Context enabled clients to download non-sensitive Parameter values after creating the Process Group.
文件快照
id: CVE-2024-56512
info:
name: Apache NiFi - Information Disclosure
author: DhiyaneshDK
sever
...
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。