Vulnerabilidad en Apache NiFi (CVE-2017-12623)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
10/10/2017
Última modificación:
20/04/2025
Descripción
Un usuario autorizado podría subir una plantilla que contenga código malicioso y que acceda a archivos sensibles mediante un ataque XEE (XML External Entity). La solución para manejar entidades externas XML se aplicó en la distribución 1.4.0 de Apache NiFi. Los usuarios que ejecuten una distribución 1.x anterior deben actualizarla a la distribución adecuada.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:nifi:1.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:nifi:1.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:nifi:1.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:nifi:1.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:nifi:1.1.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:nifi:1.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:apache:nifi:1.3.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página