Matt Gilman

**Nome do software vulnerável e versões afetadas** Versões do Apache NiFi de 1.10.0 a 2.0.0 **Descrição** O problema está relacionado à falta de uma verificação detalhada de autorização para contextos de parâmetros, serviços controladores referenciados e provedores de parâmetros referenciados ao criar novos grupos de processos. Isso permite que os clientes baixem valores de parâmetros não confidenciais após a criação do grupo de processos e possibilita que os clientes criem grupos de processos e utilizem esses componentes que, de outra forma, não teriam autorização. O escopo é limitado a usuários autenticados autorizados a criar grupos de processos e implantações com políticas de autorização baseadas em componentes. **Recomendações** A atualização para o Apache NiFi 2.1.0 é a medida de mitigação recomendada, que inclui a verificação de autorização para referências de parâmetros e serviços de controlador na criação de grupos de processos.

**Name of the Vulnerable Software and Affected Versions** Apache NiFi versions prior to 0.7.2 Apache NiFi versions 1.x prior to 1.1.2 **Description** The issue arises in a cluster environment when an anonymous user request is replicated to another node. Instead of using the "anonymous" user identity, the system uses the identity of the originating node. **Recommendations** For Apache NiFi versions prior to 0.7.2, update to version 0.7.2 or later. For Apache NiFi versions 1.x prior to 1.1.2, update to version 1.1.2 or later.

**Name of the Vulnerable Software and Affected Versions** Apache NiFi versions prior to 1.0.1 Apache NiFi versions 1.1.x prior to 1.1.1 **Description** The issue is related to a cross-site scripting vulnerability in the connection details dialog. This occurs when an authorized user accesses the dialog and user-supplied text is not properly handled when added to the DOM. **Recommendations** For Apache NiFi versions prior to 1.0.1, update to version 1.0.1 or later. For Apache NiFi versions 1.1.x prior to 1.1.1, update to version 1.1.1 or later.