Arpad Boda

**Nome do software vulnerável e versões afetadas** Apache NiFi MiNiFi C++, versões 0.5.0 a 0.9.x **Descrição** O protocolo c2 no Apache NiFi MiNiFi C++ implementa um comando “agent-update” projetado para aplicar patches no binário do aplicativo. Esse comando, por padrão, chama um binário confiável, mas pode ser modificado para um valor arbitrário por meio do comando “c2-update”. O comando modificado é então executado com os mesmos privilégios do binário do aplicativo. **Recomendações** Para as versões 0.5.0 a 0.9.x, atualize para a versão 0.10.0 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao comando “c2-update” para impedir a modificação do comando “agent-update” até que um patch seja aplicado.