Apache NiFi 命令注入漏洞 (CVE-2022-33140)

时间 : 2022-06-17 17:25:00

近日,网络应急团队监测到Apache发布安全公告,修复了一个存在于Apache NiFi 中的命令注入漏洞。Apache NiFi 1.10.0 到 1.16.2 和 Apache NiFi Registry 0.6.0 到 1.16.2 中的可选 ShellUserGroupProvider 不会中和组解析命令的参数,从而允许在 Linux 和 macOS 平台上注入操作系统命令。

ShellUserGroupProvider 不包含在默认配置中。命令注入要求 ShellUserGroupProvider 是授权方配置中启用的用户组提供程序之一。命令注入还需要具有提升权限的经过身份验证的用户。Apache NiFi需要经过身份验证的用户授权修改访问策略以执行命令。Apache NiFi Registry 需要经过身份验证的用户授权读取用户组才能执行命令。

【受影响版本】

  • 1.10.0 <= Apache NiFi <= 1.16.2

  • 0.6.0 <= Apache NiFi Registry <= 1.16.2

【安全版本】

  • Apache NiFi 1.16.3

  • Apache NiFi Registry 1.16.3

Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。


7*24小时技术支持
HKBGP
海外CN2服务器(客服1)
HKBGP
Telegram ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ 【客服】
7*24小时技术支持
HKBGP
TG官方群组
HKBGP
Telegram ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ 【群组】
HKBGP