漏洞标题
Apache NiFi:在参数上下文中未适当中和输入
漏洞描述信息
从1.10.0到1.26.0的Apache NiFi以及从2.0.0-M1到2.0.0-M3的版本都支持Parameter Context配置中的描述字段,这一配置存在跨站脚本攻击风险。已授权用户,具备配置Parameter Context权限,可以在session上下文中,通过输入任意JavaScript代码,使客户端浏览器执行这一代码。推荐的缓解措施是升级至Apache NiFi 1.27.0或2.0.0-M4版本。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Apache NiFi: Improper Neutralization of Input in Parameter Context Description
漏洞描述信息
Apache NiFi 1.10.0 through 1.26.0 and 2.0.0-M1 through 2.0.0-M3 support a description field in the Parameter Context configuration that is vulnerable to cross-site scripting. An authenticated user, authorized to configure a Parameter Context, can enter arbitrary JavaScript code, which the client browser will execute within the session context of the authenticated user. Upgrading to Apache NiFi 1.27.0 or 2.0.0-M4 is the recommended mitigation.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Apache NiFi 安全漏洞
漏洞描述信息
Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。 Apache NiFi 1.10.0至1.26.0版本和2.0.0-M1至2.0.0-M3版本存在安全漏洞,该漏洞源于容易受到跨站脚本攻击。经过身份验证的用户可以输入任意JavaScript代码,客户端浏览器将在经过身份验证的用户的会话上下文中执行该代码。
CVSS信息
N/A
漏洞类别
其他