Vulnerabilidad en un archivo XML en Apache NiFi (CVE-2020-13940)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
01/10/2020
Última modificación:
05/10/2020
Descripción
En Apache NiFi versiones 1.0.0 hasta 1.11.4, el administrador del servicio de notificación y varios objetos del autorizador de políticas y proveedor de grupos de usuarios permitieron a los administradores confiables configurar inadvertidamente un archivo XML potencialmente malicioso. El archivo XML tiene la capacidad de hacer llamadas externas a servicios (por medio de XXE)
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:apache:nifi:*:*:*:*:*:*:*:* | 1.0.0 (incluyendo) | 1.11.4 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página