David Handermann

Nome do Software Vulnerável e Versões Afetadas Versões 1.1.0 a 2.7.2 do Apache NiFi Descrição Instalações do Apache NiFi são afetadas por uma falta de verificação de autorização ao atualizar propriedades de configuração em componentes de extensão com Permissões Necessárias específicas com base na anotação Restricted. A anotação Restricted indica privilégios adicionais necessários para adicionar um componente à configuração do fluxo, mas o framework não verificava o status restrito durante atualizações em componentes previamente adicionados. Isso permite que um usuário com privilégios mais baixos modifique a configuração de componentes restritos, possivelmente comprometendo a lógica do fluxo de dados ou acionando ações inseguras. Instalações que não implementam diferentes níveis de autorização para componentes Restricted não são afetadas, já que o framework depende das permissões de escrita como limite de segurança. Recomendações Atualize para a versão 2.8.0 do Apache NiFi para resolver este problema.

**Name of the Vulnerable Software and Affected Versions** Apache Parquet versions prior to 1.15.2 **Description** The vulnerability in Apache Parquet Java allows remote code execution via insecure parquet-avro module schema parsing. The issue affects versions up to 1.15.1. The parquet-avro module is responsible for processing Avro schemas within the metadata of Parquet files. Despite an earlier update in version 1.15.1 intended to restrict untrusted packages, the default settings remain permissive enough that harmful classes can still be executed. This is particularly worrisome for data processing pipelines that may draw files from untrusted sources, putting any application utilizing this module at risk of remote code execution. The exploit is only applicable if the client code of parquet-avro uses the "specific" or the "reflect" models deliberately for reading Parquet files. **Recommendations** Apache Parquet version 1.15.1: Set the system property "org.apache.parquet.avro.SERIALIZABLE PACKAGES" to an empty string. Apache Parquet versions prior to 1.15.1: Upgrade to version 1.15.2. Apache Parquet versions prior to 1.15.2 (general recommendation): Upgrade to version 1.15.2 to ensure safety.

**Nome do software vulnerável e versões afetadas** Versões do Apache NiFi de 1.16.0 a 1.28.0 Versões do Apache NiFi de 2.0.0-M1 a 2.0.0-M4 **Descrição** O problema diz respeito ao registro de depuração opcional dos valores de `Parameter Context` durante o processo de sincronização de fluxo no Apache NiFi. Um administrador autorizado com acesso para alterar os níveis de registro poderia habilitar o registro de depuração, fazendo com que o aplicativo gravasse nomes e valores de `Parameter` no log do aplicativo. Os valores de `Parameter Context` podem conter informações confidenciais, dependendo da configuração do fluxo do aplicativo. Implantações com a configuração padrão do Logback não registram valores de `Parameter Context`. **Recomendações** Para as versões 1.16.0 a 1.28.0 do Apache NiFi, atualize para o Apache NiFi 1.28.1 para eliminar o registro de valores de `Parâmetro` do processo de sincronização de fluxo. Para as versões do Apache NiFi 2.0.0-M1 a 2.0.0-M4, atualize para o Apache NiFi 2.0.0 para eliminar o registro de valores de `Parâmetro` do processo de sincronização de fluxo.

**Nome do software vulnerável e versões afetadas** Versões do Apache Calcite anteriores à 1.32.0 **Descrição** O problema está relacionado aos operadores SQL EXISTS NODE, EXTRACT XML, XML TRANSFORM e EXTRACT VALUE, que não restringem as referências a Entidades Externas XML em sua configuração, tornando-os vulneráveis a um possível ataque de Entidade Externa XML (XXE). Qualquer cliente que exponha esses operadores, normalmente usando o dialeto Oracle ou o dialeto MySQL, é afetado por esse problema. A extensão da vulnerabilidade depende do usuário sob o qual o aplicativo está sendo executado. **Recomendações** Para versões do Apache Calcite anteriores à 1.32.0, considere atualizar para a versão 1.32.0 ou posterior, nas quais as Declarações de Tipo de Documento e a resolução de Entidades Externas XML estão desativadas nos operadores afetados. Como solução alternativa temporária, considere restringir o uso dos operadores SQL EXISTS NODE, EXTRACT XML, XML TRANSFORM e EXTRACT VALUE para minimizar o risco de exploração. Além disso, restrinja o acesso aos dialetos Oracle e MySQL para reduzir a superfície de ataque.

**Nome do software vulnerável e versões afetadas** Versões do Apache NiFi de 1.10.0 a 1.16.2 Versões do Apache NiFi Registry de 0.6.0 a 1.16.2 **Descrição** O ShellUserGroupProvider opcional não neutraliza argumentos em comandos de resolução de grupos, permitindo a injeção de comandos do sistema operacional nas plataformas Linux e macOS. Este problema requer que o ShellUserGroupProvider esteja habilitado na configuração de Autorizadores e um usuário autenticado com privilégios elevados. O Apache NiFi requer autorização para modificar políticas de acesso, enquanto o Apache NiFi Registry requer autorização para ler grupos de usuários a fim de executar o comando. A resolução envolve a remoção da formatação de comandos com base em argumentos fornecidos pelo usuário. **Recomendações** Para as versões 1.10.0 a 1.16.2 do Apache NiFi, considere desativar o ShellUserGroupProvider até que um patch esteja disponível. Para as versões 0.6.0 a 1.16.2 do Apache NiFi Registry, restrinja o acesso ao ShellUserGroupProvider para minimizar o risco de exploração. Como solução alternativa temporária, remova a formatação de comandos com base em argumentos fornecidos pelo usuário tanto para o Apache NiFi quanto para o Apache NiFi Registry.

**Nome do software vulnerável e versões afetadas** Versões do Apache NiFi de 0.0.1 a 1.16.0 **Descrição** O problema diz respeito a vários componentes do Apache NiFi que não restringem as referências a Entidades Externas XML na configuração padrão. Especificamente, o serviço Standard Content Viewer e certos processadores (EvaluateXPath, EvaluateXQuery, ValidateXml) tentam resolver referências a Entidades Externas XML quando configurados com valores de propriedade padrão. Isso torna as configurações de fluxo do Apache NiFi que incluem esses processadores vulneráveis a documentos XML maliciosos contendo Declarações de Tipo de Documento com referências a Entidades Externas XML. **Recomendações** Para as versões 0.0.1 a 1.16.0 do Apache NiFi, atualize para a versão 1.16.1 ou posterior, que desativa as Declarações de Tipo de Documento na configuração padrão dos processadores afetados e proíbe a resolução de Entidades Externas XML nos serviços padrão. Como solução alternativa temporária, considere desativar os processadores `EvaluateXPath`, `EvaluateXQuery` e `ValidateXml` até que um patch esteja disponível. Restrinja o acesso ao serviço Standard Content Viewer para minimizar o risco de exploração. Evite usar documentos XML que contenham Declarações de Tipo de Documento com referências a Entidades Externas XML nas configurações de fluxo do Apache NiFi até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Apache NiFi anteriores à 1.16.0 **Descrição** O problema ocorre ao criar ou atualizar credenciais para acesso de usuário único no Apache NiFi. O NiFi grava uma cópia da configuração dos provedores de identidade de login no diretório temporário do sistema operacional, que possui permissões globais de leitura na maioria das plataformas. Embora o NiFi mova imediatamente o arquivo temporário para o diretório de configuração final, limitando a janela de oportunidade para acesso, a vulnerabilidade ainda persiste. A classe `org.apache.nifi.authentication.single.user.writer.StandardLoginCredentialsWriter` contém uma vulnerabilidade de divulgação de informações locais devido à gravação de credenciais em um arquivo legível por todos os outros usuários em sistemas do tipo Unix. **Recomendações** Para versões anteriores à 1.16.0, atualize para o Apache NiFi 1.16.0 ou posterior para substituir a configuração dos Provedores de Identidade de Login sem gravar um arquivo no diretório temporário do sistema operacional. Como solução alternativa temporária, considere definir a variável de ambiente do sistema `java.io.tmpdir` para um diretório de propriedade exclusiva do usuário executante para corrigir essa vulnerabilidade em todos os sistemas operacionais.