Andy Lopresto

**Nome do software vulnerável e versões afetadas** NiFi Registry, versões 0.1.0 a 0.5.0 **Descrição** O problema ocorre quando o NiFi Registry utiliza um mecanismo de autenticação diferente do PKI. Ao clicar em “Sair”, o NiFi Registry invalida o token de autenticação no lado do cliente, mas não consegue fazer o mesmo no lado do servidor. Isso permite que o token do lado do cliente do usuário seja utilizado por até 12 horas após o logout, possibilitando solicitações de API não autorizadas ao NiFi Registry. **Recomendações** Para as versões 0.1.0 a 0.5.0 do NiFi Registry, considere implementar um mecanismo de invalidação de token no lado do servidor para impedir o acesso não autorizado após o usuário sair da conta. Como solução alternativa temporária, restrinja as solicitações de API por um período de até 12 horas após o usuário sair da conta para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Apache NiFi de 0.0.1 a 1.11.0 **Descrição** O problema diz respeito à fábrica de impressões digitais de fluxo no Apache NiFi, que gerava impressões digitais de fluxo contendo valores confidenciais de descritores de propriedade. Quando um nó tentava ingressar em um cluster e o fluxo do cluster não era herdável, as impressões digitais de fluxo tanto do cluster quanto do fluxo local eram impressas, expondo potencialmente valores confidenciais em texto simples. **Recomendações** Para as versões 0.0.1 a 1.11.0 do Apache NiFi, considere restringir o acesso à fábrica de impressões digitais de fluxo para minimizar o risco de exposição de informações confidenciais até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Apache NiFi versão 1.10.0 **Descrição** Foi identificada uma falha de divulgação de informações no analisador de parâmetros confidenciais, que registrava os valores analisados para fins de depuração. Isso expõe os valores literais inseridos em uma propriedade confidencial quando não há nenhum parâmetro presente. **Recomendações** Para o Apache NiFi versão 1.10.0, considere desativar o registro de depuração do analisador de parâmetros confidenciais para evitar a exposição de informações confidenciais. Restrinja o acesso aos registros para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Apache NiFi versions prior to 1.8.0 **Description** The issue occurs when a client request to a cluster node is replicated to other nodes for verification, and the Content-Length is forwarded. Specifically, on a DELETE request, the body is ignored, but if the initial request had a Content-Length value other than 0, the receiving nodes would wait for the body and eventually timeout. **Recommendations** For Apache NiFi versions prior to 1.8.0, upgrade to Apache NiFi 1.8.0 or a later version to apply the fix that checks DELETE requests and overwrites non-zero Content-Length header values.

Name of the Vulnerable Software and Affected Versions: Apache NiFi versions prior to 1.5.0 Description: A malicious `X-ProxyContextPath` or `X-Forwarded-Context` header containing external resources or embedded code could cause remote code execution. Recommendations: For Apache NiFi versions prior to 1.5.0, upgrade to Apache NiFi 1.5.0 or a later version to properly handle these headers and prevent remote code execution. As a temporary workaround, consider restricting access to the `X-ProxyContextPath` and `X-Forwarded-Context` headers until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** Apache NiFi versions prior to 0.7.2 Apache NiFi versions 1.x prior to 1.1.2 **Description** The issue allows a carefully crafted `username` to impersonate another user and gain their permissions on a replicated request to another node in a cluster environment. This is due to a vulnerability in the proxy chain serialization/deserialization. **Recommendations** For Apache NiFi versions prior to 0.7.2, update to version 0.7.2 or later. For Apache NiFi versions 1.x prior to 1.1.2, update to version 1.1.2 or later.