漏洞描述

Apache NiFi 是一个开源的数据流处理和自动化工具。

Apache NiFi 1.23.0之前版本中包含使用 HTTP URL 进行远程资源检索的 Processors 和 Controller Services，但是未限制普通身份用户配置此功能。经过身份验证的攻击者可配置恶意的外部资源引用地址，当组件加载攻击者可控的恶意配置文件或附加库时触发远程代码执行。

漏洞名称	Apache NiFi 远程资源检索功能存在命令注入漏洞
漏洞类型	代码注入
发现时间	2023-07-29
漏洞影响广度	小
MPS编号	MPS-h7gi-f1vl
CVE编号	CVE-2023-36542
CNVD编号	-

影响范围

org.apache.nifi:nifi-api@[0.0.1-incubating, 1.23.0)

org.apache.nifi:nifi-nar-bundles@[0.0.1-incubating, 1.23.0)

修复方案

升级org.apache.nifi:nifi-api到 1.23.0 或更高版本

官方已发布补丁：NIFI-11744 Added Required Permission to Reference Remote Resources · apache/nifi@cbee9f0 · GitHub

升级org.apache.nifi:nifi-nar-bundles到 1.23.0 或更高版本

参考链接

OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

NVD - CVE-2023-36542

[NIFI-11744] Add Required Permission for Referencing Remote Resources - ASF JIRA

NIFI-11744 Added Required Permission to Reference Remote Resources · apache/nifi@cbee9f0 · GitHub

    

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： 墨菲安全 | 为您提供专业的软件供应链安全管理

免费情报订阅： OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

具体订阅方式详见： 介绍 | OSCS