PT-2020-15172 · Apache · Apache Nifi

Andy Lopresto

·

Publicado

2020-01-28

·

Atualizado

2025-09-12

·

CVE-2020-1928

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Nome do software vulnerável e versões afetadas
Apache NiFi versão 1.10.0
Descrição
Foi identificada uma falha de divulgação de informações no analisador de parâmetros confidenciais, que registrava os valores analisados para fins de depuração. Isso expõe os valores literais inseridos em uma propriedade confidencial quando não há nenhum parâmetro presente.
Recomendações
Para o Apache NiFi versão 1.10.0, considere desativar o registro de depuração do analisador de parâmetros confidenciais para evitar a exposição de informações confidenciais. Restrinja o acesso aos registros para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Information Disclosure

Insertion into Log File

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-532

Identificadores relacionados

BIT-NIFI-2020-1928
CVE-2020-1928
GHSA-W4FJ-CCR6-7PCP

Produtos afetados

Apache Nifi