小心!Apache NiFi XML外部實體注入(XXE)漏洞
VSole2021-12-30 17:30:24
0x01漏洞狀態
漏洞細節 漏洞POC 漏洞EXP 在野利用 否 未知 未知 未知 |
0x02漏洞描述
Apache NiFi是美國阿帕奇(Apache)基金會的一套數據處理和分發系統。該系統主要用于數據路由、轉換和系統中介邏輯。
2021年12月30日,360漏洞云團隊監測到 Apache發布安全公告,修復了一個Apache NiFi 中的XXE漏洞。漏洞編號:CVE-2021-44145,漏洞威脅等級:中危,漏洞評分:6.5。
Apache NiFi XML外部實體注入(XXE)漏洞
Apache NiFi XML外部實體注入(XXE)漏洞 漏洞編號 CVE-2021-44145 漏洞類型 XXE 漏洞等級 中危(6.5) 公開狀態 未知 在野利用 未知 漏洞描述 Apache NiFi 的 TransformXML 存在XML外部實體注入(XXE)漏洞,該漏洞源于在1.15.1之前的Apache NiFi的TransformXML處理器中,經過身份驗證的用戶可以配置XSLT文件,如果該文件包含惡意的外部實體調用,可能會暴露敏感信息。 成功利用該漏洞可能允許攻擊者查看服務器上任意文件的內容或對內部和外部基礎設施進行網絡掃描。 |
0x03漏洞等級
風險級別 CVSS評分 高危 6.5 攻擊方式 攻擊復雜性 網絡 低 特權要求 用戶交互 不需要 不需要 機密影響 完整性影響 高危 無 可用性影響 范圍影響 無 更改 |
0x04影響版本
0.1.0<=Apache NiFi<=1.15.0
0x05修復建議
廠商已發布補丁修復漏洞,用戶請盡快更新至安全版本:
Apache NiFi 1.15.1及更高版本。
與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
VSole
網絡安全專家