| 漏洞类型 | 代码注入 | 发现时间 | 2023/6/13 | 漏洞等级 | 高危 |
| MPS编号 | MPS-v4am-pz0t | CVE编号 | CVE-2023-34468 | 漏洞影响广度 | 一般 |
漏洞危害
| OSCS 描述 |
| Apache NiFi 是一个开源的数据流处理和自动化工具,DBCPConnectionPool 和 HikariCPConnectionPool 是两个控制器服务,用于提供对数据库的连接池管理功能。Apache NiFi 受影响版本,由于 DBCPConnectionPool 和 HikariCPConnectionPool 控制器服务未对用户配置的 H2 驱动程序的 URL 字符串进行验证,经过身份验证的攻击者可构造包含恶意负载的 H2 JDBC URL,在目标服务器上执行恶意代码。建议开发者升级到 NiFi 1.22.0版本,该版本在默认配置中禁用 H2 JDBC URL修复此漏洞。 参考链接:https://www.oscs1024.com/hd/MPS-v4am-pz0t |
| Apache pony mail 描述 |
| Apache NiFi 0.0.2 到 1.21.0 中的 DBCPConnectionPool 和 HikariCPConnectionPool 控制器服务允许经过身份验证和授权的用户使用支持自定义代码执行的 H2 驱动程序配置数据库 URL。 该解析验证数据库 URL 并拒绝 H2 JDBC 位置。 参考链接:https://nifi.apache.org/security.html#CVE-2023-34468 |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| org.apache.nifi:nifi@[0.0.2, 1.22.0) | 补丁 | 官方已发布禁用 H2 JDBC URL的补丁:https://github.com/apache/nifi/commit/6e064a8bdef1cd4f91ea8f42ee16a3675d2f9a9d |
| 参考链接:https://www.oscs1024.com/hd/MPS-v4am-pz0t | ||
Apache pony mail 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| Apache NiFi 0.0.2 – 1.21.0 | 缓解措施 | 升级到 NiFi 1.22.0 会在默认配置中禁用 H2 JDBC URL |
| 参考链接:https://nifi.apache.org/security.html#CVE-2023-34468 | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查 使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查 使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查 使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-v4am-pz0t
https://nvd.nist.gov/vuln/detail/CVE-2023-34468
https://issues.apache.org/jira/browse/NIFI-11653
https://github.com/apache/nifi/commit/6e064a8bdef1cd4f91ea8f42ee16a3675d2f9a9d