Apache NiFi 远程资源检索功能存在命令注入漏洞 (CVE-2023-36542)

Apache NiFi 远程资源检索功能存在命令注入漏洞 (CVE-2023-36542)
漏洞类型代码注入发现时间2023/7/29漏洞等级高危
MPS编号MPS-h7gi-f1vlCVE编号CVE-2023-36542漏洞影响广度

漏洞危害

OSCS 描述
Apache NiFi 是一个开源的数据流处理和自动化工具。
Apache NiFi 1.23.0之前版本中包含使用 HTTP URL 进行远程资源检索的 Processors 和 Controller Services,但是未限制普通身份用户配置此功能。经过身份验证的攻击者可配置恶意的外部资源引用地址,当组件加载攻击者可控的恶意配置文件或附加库时触发远程代码执行。
参考链接:https://www.oscs1024.com/hd/MPS-h7gi-f1vl
APACHE Pony Mail 描述
Apache NiFi 0.0.2 到 1.22.0 包括支持用于检索驱动程序的 HTTP URL 引用的处理器和控制器服务,这允许经过身份验证和授权的用户配置启用自定义代码执行的位置。 该解决方案引入了引用远程资源的新所需权限,将这些组件的配置限制为特权用户。 该权限可防止非特权用户配置带有新的参考远程资源限制注释的处理器和控制器服务。 建议的缓解措施是升级到 Apache NiFi 1.23.0。
参考链接:https://lists.apache.org/thread/swnly3dzhhq9zo3rofc8djq77stkhbof

影响范围

OSCS
org.apache.nifi:nifi-api@[0.0.1-incubating, 1.23.0)
org.apache.nifi:nifi-nar-bundles@[0.0.1-incubating, 1.23.0)
参考链接:https://www.oscs1024.com/hd/MPS-h7gi-f1vl
APACHE Pony Mail
– Apache NiFi 0.0.2 through 1.22.0
参考链接:https://lists.apache.org/thread/swnly3dzhhq9zo3rofc8djq77stkhbof

处置方案

OSCS平台处置参考
修复方案官方已发布补丁:
https://github.com/apache/nifi/commit/cbee9f0558aa45f86d68677f762e9ddacc91fdd8
升级版本升级 org.apache.nifi:nifi-api 到 1.23.0 或更高版本
升级 org.apache.nifi:nifi-nar-bundles 到 1.23.0 或更高版本
参考链接https://www.oscs1024.com/hd/MPS-h7gi-f1vl
APACHE Pony Mail 平台处置参考
升级版本建议用户立即更新至 Apache NiFi 1.23.0 版本。
参考链接https://lists.apache.org/thread/swnly3dzhhq9zo3rofc8djq77stkhbof

排查方式

方式1:使用漏洞检测CLI工具来排查
使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查
使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查
使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-h7gi-f1vl

https://nvd.nist.gov/vuln/detail/CVE-2023-36542

https://issues.apache.org/jira/browse/NIFI-11744

https://lists.apache.org/thread/swnly3dzhhq9zo3rofc8djq77stkhbof

https://github.com/apache/nifi/commit/cbee9f0558aa45f86d68677f762e9ddacc91fdd8

(0)
上一篇 2023年8月11日 下午3:45
下一篇 2023年8月11日 下午4:05

相关推荐

  • Apache InLong updateAuditSource方法命令注入漏洞 (CVE-2023-51784)

    漏洞类型 代码注入 发现时间 2024-01-03 漏洞等级 高危 MPS编号 MPS-81gu-tekl CVE编号 CVE-2023-51784 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache InLong 是开源的数据集成框架,Audit source 是对 Agent、DataProxy、Sort 模块的入流量、出流量进行实时审计,并将审计…

    2024年1月4日
    0
  • curl HSTS长文件名清除内容漏洞 (CVE-2023-46219)

    漏洞类型 敏感信息泄露 发现时间 2023-12-06 漏洞等级 低危 MPS编号 MPS-b3tl-rgea CVE编号 CVE-2023-46219 漏洞影响广度 小 漏洞危害 OSCS 描述 curl 是用于在各种网络协议之间传输数据的命令行工具。 由于curl的Curl_fopen函数保存HSTS 数据的文件名后面添加了一个后缀,创建了一个临时文件,…

    2023年12月7日
    0
  • FFmpeg < n7.0 堆溢出漏洞 (CVE-2023-51794)

    漏洞类型 堆缓冲区溢出 发现时间 2024-04-28 漏洞等级 高危 MPS编号 MPS-akej-cx6f CVE编号 CVE-2023-51794 漏洞影响广度 一般 漏洞危害 OSCS 描述 FFmpeg 是开源的多媒体框架,支持音频和视频的录制、转换以及流处理,stereowiden filter是其中的音频过滤器,用于增强立体声音轨的空间感。 受…

    漏洞 2024年4月29日
    0
  • django-filer 存储型XSS

    漏洞类型 XSS 发现时间 2023/7/6 漏洞等级 中危 MPS编号 MPS-umly-9j1t CVE编号 – 漏洞影响广度 小 漏洞危害 OSCS 描述 django-filer是一款django 的文件和图像管理应用程序。在受影响版本中由于django-filer 未对接收的SVG文件进行安全校验,如果受害者打开攻击者构造的恶意SVG文…

    2023年8月30日
    0
  • Apache Allura 信息泄漏导致会话劫持 (CVE-2023-46851)

    漏洞类型 文件名或路径的外部可控制 发现时间 2023-11-07 漏洞等级 高危 MPS编号 MPS-yx6s-dke7 CVE编号 CVE-2023-46851 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Allura是美国阿帕奇(Apache)软件基金会的一套开源项目托管平台。该平台支持管理源代码存储库、错误报告、维基页面和博客等。 由…

    2023年11月8日
    0