Vulnerabilidad en Apache NiFi (CVE-2023-40037)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/08/2023
Última modificación:
13/02/2025
Descripción
Apache NiFi 1.21.0 hasta 1.23.0 soportan accesos JDBC y JNDI JMS en varios procesadores y servicios de controlador con validación de URL de conexión que no proporciona suficiente protección contra entradas manipuladas. Un usuario autenticado y autorizado puede eludir la validación de URL de conexión utilizando un formato de entrada personalizado. La resolución mejora la validación de la URL de conexión e introduce la validación de propiedades relacionadas adicionales. Se recomienda actualizar a Apache NiFi 1.23.1.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:nifi:*:*:*:*:*:*:*:* | 1.21.0 (incluyendo) | 1.23.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2023/08/18/2
- https://lists.apache.org/thread/bqbjlrs2p5ghh8sbk5nsxb8xpf9l687q
- https://nifi.apache.org/security.html#CVE-2023-40037
- http://www.openwall.com/lists/oss-security/2023/08/18/2
- https://lists.apache.org/thread/bqbjlrs2p5ghh8sbk5nsxb8xpf9l687q
- https://nifi.apache.org/security.html#CVE-2023-40037