Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en un archivo XML en Apache NiFi (CVE-2020-13940)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-611 Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
01/10/2020
Última modificación:
05/10/2020

Descripción

En Apache NiFi versiones 1.0.0 hasta 1.11.4, el administrador del servicio de notificación y varios objetos del autorizador de políticas y proveedor de grupos de usuarios permitieron a los administradores confiables configurar inadvertidamente un archivo XML potencialmente malicioso. El archivo XML tiene la capacidad de hacer llamadas externas a servicios (por medio de XXE)

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:nifi:*:*:*:*:*:*:*:* 1.0.0 (incluyendo) 1.11.4 (incluyendo)


Referencias a soluciones, herramientas e información