Descripción de la vulnerabilidad
Apache NiFi es una herramienta de automatización y procesamiento de flujo de datos de código abierto.
En la versión afectada, el filtrado de parámetros URL no se completa al configurar conexiones JDBC y JNDI JMS debido a múltiples procesadores y servicios de controlador. Utilice el método startWith para filtrar las URL ingresadas por el usuario, lo que da como resultado un filtrado que se puede omitir. Los atacantes pueden eludir la verificación de la URL de conexión mediante la creación de un formato específico, lo que puede provocar fugas de datos y otros peligros.
Nombre de la vulnerabilidad | Vulnerabilidad de omisión de validación de URL de conexión Apache NiFi |
---|---|
Tipo de vulnerabilidad | lista negra incompleta |
tiempo de descubrimiento | 2023/8/19 |
Amplitud de vulnerabilidad | Pequeño |
número MPS | MPS-0378-t16x |
número CVE | CVE-2023-40037 |
número CNVD | - |
Esfera de influencia
org.apache.nifi:nifi-nar-bundles@[1.21.0, 1.23.1);
plan de reparación
Actualice el componente org.apache.nifi:nifi-nar-bundles a la versión 1.23.1 o superior
Link de referencia
https://zhi.oscs1024.com/4858.html
https://www.oscs1024.com/hd/MPS-0378-t16x
https://nvd.nist.gov/vuln/detail/CVE-2023-40037
https://github.com/apache/nifi/commit/064550aacc
https://github.com/apache/nifi/pull/7586
Acerca de la seguridad de Murphy
Murphy Security es una empresa de tecnología que le proporciona software profesional de gestión de seguridad de la cadena de suministro. El equipo central proviene de Baidu, Huawei, Wuyun y otras empresas. La empresa ofrece a los clientes una plataforma completa de gestión de seguridad de la cadena de suministro de software y proporciona software con una Ciclo de vida completo en torno a la gestión de seguridad de SBOM, las capacidades de la plataforma incluyen análisis de componentes de software, gestión de seguridad de origen, detección de imágenes de contenedores, alerta temprana de inteligencia de vulnerabilidades y evaluación de acceso a la cadena de suministro de software comercial y otros productos. Proporcione a los clientes capacidades de control completas desde la gestión de identificación de activos de la cadena de suministro, detección de riesgos, control de seguridad y reparación con una sola clave.
Proyecto de código abierto: https://github.com/murphysecurity/murphysec/?sf=qbyj
El producto se puede integrar con varias herramientas en el proceso de desarrollo existente a un costo muy bajo, incluida una integración perfecta con docenas de herramientas como IDE, Gitlab, Bitbucket, Jenkins, Harbour y Nexus.
Herramienta gratuita de detección de seguridad de código: https://www.murphysec.com/?sf=qbyj
Suscripción de información gratuita: https://www.oscs1024.com/cm/?sf=qbyj
Se lanzó Redis 7.2.0, la versión de mayor alcance, los programadores chinos se negaron a escribir programas de juegos de azar, se extrajeron 14 dientes y el 88% de todo el cuerpo resultó dañado. Se lanzó Flutter 3.13. System Initiative anunció que todo su software Sea de código abierto. Apareció la primera aplicación independiente a gran escala, Grace cambió su nombre a "Doubao". Spring 6.1 es compatible con subprocesos virtuales y JDK 21. Tableta Linux StarLite 5: Ubuntu predeterminado, Chrome 116 de 12,5 pulgadas lanzado oficialmente . Red Hat redistribuyó el escritorio. Desarrollo de Linux, el desarrollador principal fue transferido Kubernetes 1.28 lanzado oficialmente