| 漏洞类型 | 代码注入 | 发现时间 | 2023/7/29 | 漏洞等级 | 高危 |
| MPS编号 | MPS-h7gi-f1vl | CVE编号 | CVE-2023-36542 | 漏洞影响广度 | 小 |
漏洞危害
| OSCS 描述 |
| Apache NiFi 是一个开源的数据流处理和自动化工具。 Apache NiFi 1.23.0之前版本中包含使用 HTTP URL 进行远程资源检索的 Processors 和 Controller Services,但是未限制普通身份用户配置此功能。经过身份验证的攻击者可配置恶意的外部资源引用地址,当组件加载攻击者可控的恶意配置文件或附加库时触发远程代码执行。 参考链接:https://www.oscs1024.com/hd/MPS-h7gi-f1vl |
| APACHE Pony Mail 描述 |
| Apache NiFi 0.0.2 到 1.22.0 包括支持用于检索驱动程序的 HTTP URL 引用的处理器和控制器服务,这允许经过身份验证和授权的用户配置启用自定义代码执行的位置。 该解决方案引入了引用远程资源的新所需权限,将这些组件的配置限制为特权用户。 该权限可防止非特权用户配置带有新的参考远程资源限制注释的处理器和控制器服务。 建议的缓解措施是升级到 Apache NiFi 1.23.0。 参考链接:https://lists.apache.org/thread/swnly3dzhhq9zo3rofc8djq77stkhbof |
影响范围
| OSCS |
| org.apache.nifi:nifi-api@[0.0.1-incubating, 1.23.0) org.apache.nifi:nifi-nar-bundles@[0.0.1-incubating, 1.23.0) 参考链接:https://www.oscs1024.com/hd/MPS-h7gi-f1vl |
| APACHE Pony Mail |
| – Apache NiFi 0.0.2 through 1.22.0 参考链接:https://lists.apache.org/thread/swnly3dzhhq9zo3rofc8djq77stkhbof |
处置方案
| OSCS平台处置参考 | |
| 修复方案 | 官方已发布补丁: https://github.com/apache/nifi/commit/cbee9f0558aa45f86d68677f762e9ddacc91fdd8 |
| 升级版本 | 升级 org.apache.nifi:nifi-api 到 1.23.0 或更高版本 升级 org.apache.nifi:nifi-nar-bundles 到 1.23.0 或更高版本 |
| 参考链接 | https://www.oscs1024.com/hd/MPS-h7gi-f1vl |
| APACHE Pony Mail 平台处置参考 | |
| 升级版本 | 建议用户立即更新至 Apache NiFi 1.23.0 版本。 |
| 参考链接 | https://lists.apache.org/thread/swnly3dzhhq9zo3rofc8djq77stkhbof |
排查方式
| 方式1:使用漏洞检测CLI工具来排查 使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查 使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查 使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-h7gi-f1vl
https://nvd.nist.gov/vuln/detail/CVE-2023-36542
https://issues.apache.org/jira/browse/NIFI-11744
https://lists.apache.org/thread/swnly3dzhhq9zo3rofc8djq77stkhbof
https://github.com/apache/nifi/commit/cbee9f0558aa45f86d68677f762e9ddacc91fdd8