漏洞标题
N/A
漏洞描述信息
在 NiFi 版本 1.3.0 到 1.9.2 中,XMLFileLookupService 允许信任用户意外配置一个可能具有恶意功能的 XML 文件。这个 XML 文件具有通过 XXE 向服务进行外部调用的能力,并泄露 NiFi 实例使用的 Java、 Jersey 和 Apache 版本等信息。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The XMLFileLookupService in NiFi versions 1.3.0 to 1.9.2 allowed trusted users to inadvertently configure a potentially malicious XML file. The XML file has the ability to make external calls to services (via XXE) and reveal information such as the versions of Java, Jersey, and Apache that the NiFI instance uses.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache NiFi 代码问题漏洞
漏洞描述信息
Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。 Apache NiFi 1.3.0版本至1.9.2版本中的XMLFileLookupService存在代码问题漏洞。攻击者可借助恶意的XML文件利用该漏洞对服务进行外部调用并泄露数据,例如:NiFI实例所使用的Java、Jersey和Apache的版本。
CVSS信息
N/A
漏洞类别
代码问题