Apache NiFi 存在 xml 外部实体引用不当漏洞
漏洞描述
Apache NiFi 是一个用于处理和分布数据的开源系统。
由于 Apache NiFi 1.2.0 到 1.19.1 版本中的 ExtractCCDAAttributes 类不限制 XML 外部实体的引用,导致包含 ExtractCCDAAttributes 处理器的配置流容易受到 XML 外部实体攻击。攻击者可传入包含特制的 DTD(具有恶意 XML 外部实体引用)的 XML 文档获取系统中的任意文件。
| 漏洞名称 | Apache NiFi 存在 xml 外部实体引用不当漏洞 |
|---|---|
| 漏洞类型 | XXE |
| 发现时间 | 2023-02-10 |
| 漏洞影响广度 | 小 |
| MPS编号 | MPS-2023-0543 |
| CVE编号 | CVE-2023-22832 |
| CNVD编号 | - |
影响范围
org.apache.nifi:nifi-nar-bundles@[1.2.0, 1.20.0)
修复方案
升级org.apache.nifi:nifi-nar-bundles到 1.20.0 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2023-0543
https://nvd.nist.gov/vuln/detail/CVE-2023-22832
https://nifi.apache.org/security.html#CVE-2023-22832
https://github.com/apache/nifi/pull/6828/commits/68a10536a8efe8acd475729fe92c9fffde8326e8
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
在线学习系统 WLP 0.3.1 发布
WTS 0.3.1 发布了,更新如下: 一、增加专业管理和学习功能 专业下可以放置多门课程 专业中可控制用户访问权限 专业中可控制用户編輯权限,将編輯权限分配给不同用户 二、增加用户学习权限控制功能 允许通过课程分类控制用户访问权限 三、增加用户学习记录功能
- 下一篇
GitHub 和 GitLab 纷纷宣布裁员
对科技行业来说,2023 年应该是比较艰难的一年,目前已有多个大型科技公司都宣布了裁员,其中包括微软、亚马逊、Google 和 Facebook 等。 今天微软旗下的 GitHub,以及同一领域的竞争对手 GitLab 也公布了裁员计划,其中 GitHub 将裁员 10%,GitLab 将裁员 7%,两家公司都没有具体说明受影响员工的确切人数(GitHub 独立运营,微软此前宣布裁员 1 万名员工并不影响 GitHub)。 不过根据去年 GitLab 的 10-K 报告显示,该公司的员工人数为 1630 人,虽然现在员工数量肯定会有些变化,但这意味着此次裁员将差不多影响到 100+ 员工。GitHub 目前则是拥有约 3000 名员工,此次裁员则是会影响约 300 人。 GitLab 联合创始人兼首席执行官 Sid Sijbrandij 表示: 目前的宏观经济环境很严峻,因此我们的客户仍然在支出,但他们对软件投资采取了更保守的态度,并花更多时间做出购买决定。 我曾希望重新安排我们的支出优先顺序以抵御日益严重的全球经济衰退。不幸的是,我们需要采取进一步措施,并使我们的支出速度与我们对负责...
相关文章
文章评论
共有0条评论来说两句吧...
微信收款码
支付宝收款码