漏洞描述
Apache NiFi 是一个开源的数据流处理和自动化工具。
在受影响版本中,由于多个Processors和Controller Services在配置JDBC和JNDI JMS连接时对URL参数过滤不完全。使用startsWith方法过滤用户输入URL,导致过滤可以被绕过。攻击者可以通过构造特定格式来绕过连接URL验证,可能造成数据泄露等危害。
| 漏洞名称 | Apache NiFi 连接 URL 验证绕过漏洞 |
|---|---|
| 漏洞类型 | 不完整的黑名单 |
| 发现时间 | 2023/8/19 |
| 漏洞影响广度 | 小 |
| MPS编号 | MPS-0378-t16x |
| CVE编号 | CVE-2023-40037 |
| CNVD编号 | - |
影响范围
org.apache.nifi:nifi-nar-bundles@[1.21.0, 1.23.1)
修复方案
将组件 org.apache.nifi:nifi-nar-bundles 升级到 1.23.1 或更高版本
参考链接
https://zhi.oscs1024.com/4858.html\]https://zhi.oscs1024.com/4858.html)