[Riesgo medio] Vulnerabilidad de omisión de autenticación de URL de conexión Apache NiFi (CVE-2023-40037)

Others 2023-08-22 18:08:21 views: null

Mozhi - Comunidad tecnológica de seguridad de la cadena de suministro de software

Descripción de la vulnerabilidad

Apache NiFi es una herramienta de automatización y procesamiento de flujo de datos de código abierto.

En la versión afectada, el filtrado de parámetros URL no se completa al configurar conexiones JDBC y JNDI JMS debido a múltiples procesadores y servicios de controlador. Utilice el método startWith para filtrar las URL ingresadas por el usuario, lo que da como resultado un filtrado que se puede omitir. Los atacantes pueden eludir la verificación de la URL de conexión mediante la creación de un formato específico, lo que puede provocar fugas de datos y otros peligros.

Nombre de la vulnerabilidad Vulnerabilidad de omisión de validación de URL de conexión Apache NiFi
Tipo de vulnerabilidad lista negra incompleta
tiempo de descubrimiento 2023/8/19
Amplitud de vulnerabilidad Pequeño
número MPS MPS-0378-t16x
número CVE CVE-2023-40037
número CNVD -

Esfera de influencia

org.apache.nifi:nifi-nar-bundles@[1.21.0, 1.23.1);

plan de reparación

Actualice el componente org.apache.nifi:nifi-nar-bundles a la versión 1.23.1 o superior

Link de referencia

https://zhi.oscs1024.com/4858.html

https://www.oscs1024.com/hd/MPS-0378-t16x

https://nvd.nist.gov/vuln/detail/CVE-2023-40037

https://github.com/apache/nifi/commit/064550aacc

https://github.com/apache/nifi/pull/7586

Acerca de la seguridad de Murphy

Murphy Security es una empresa de tecnología que le proporciona software profesional de gestión de seguridad de la cadena de suministro. El equipo central proviene de Baidu, Huawei, Wuyun y otras empresas. La empresa ofrece a los clientes una plataforma completa de gestión de seguridad de la cadena de suministro de software y proporciona software con una Ciclo de vida completo en torno a la gestión de seguridad de SBOM, las capacidades de la plataforma incluyen análisis de componentes de software, gestión de seguridad de origen, detección de imágenes de contenedores, alerta temprana de inteligencia de vulnerabilidades y evaluación de acceso a la cadena de suministro de software comercial y otros productos. Proporcione a los clientes capacidades de control completas desde la gestión de identificación de activos de la cadena de suministro, detección de riesgos, control de seguridad y reparación con una sola clave.

Proyecto de código abierto: https://github.com/murphysecurity/murphysec/?sf=qbyj

El producto se puede integrar con varias herramientas en el proceso de desarrollo existente a un costo muy bajo, incluida una integración perfecta con docenas de herramientas como IDE, Gitlab, Bitbucket, Jenkins, Harbour y Nexus.

Herramienta gratuita de detección de seguridad de código: https://www.murphysec.com/?sf=qbyj

Suscripción de información gratuita: https://www.oscs1024.com/cm/?sf=qbyj

Se lanzó Redis 7.2.0, la versión de mayor alcance, los programadores chinos se negaron a escribir programas de juegos de azar, se extrajeron 14 dientes y el 88% de todo el cuerpo resultó dañado. Se lanzó Flutter 3.13. System Initiative anunció que todo su software Sea de código abierto. Apareció la primera aplicación independiente a gran escala, Grace cambió su nombre a "Doubao". Spring 6.1 es compatible con subprocesos virtuales y JDK 21. Tableta Linux StarLite 5: Ubuntu predeterminado, Chrome 116 de 12,5 pulgadas lanzado oficialmente . Red Hat redistribuyó el escritorio. Desarrollo de Linux, el desarrollador principal fue transferido Kubernetes 1.28 lanzado oficialmente
{{o.nombre}}
{{m.nombre}}

Supongo que te gusta

Origin my.oschina.net/u/5851526/blog/10100902
Recomendado
Clasificación
Diario
Más
2024-05-20(5)
2024-05-19(0)
2024-05-18(30)
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)

Code World

© 2018 codetd.com