Jaeyeong Lee

**Nome do Software Vulnerável e Versões Afetadas** Versões do Apache NiFi de 1.20.0 a 2.6.0 **Descrição** O processador GetAsanaObject no Apache NiFi utiliza um Serviço de Cliente de Cache de Mapa Distribuído para gerenciamento de estado. Este processador emprega serialização e desserialização de objetos Java sem filtragem adequada, criando um potencial de exploração por meio de informações de estado manipuladas armazenadas no servidor de cache. A exploração bem-sucedida requer acesso ao servidor de cache configurado e a um sistema Apache NiFi executando o processador GetAsanaObject. **Recomendações** Atualize para o Apache NiFi versão 2.7.0, que substitui a serialização de objetos Java pela serialização JSON. Remova o processador GetAsanaObject localizado no pacote nifi-asana-processors-nar.