PT-2020-20692 · Apache · Nifi Registry
Andy Lopresto
·
Publicado
2020-04-28
·
Atualizado
2022-02-09
·
CVE-2020-9482
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
NiFi Registry, versões 0.1.0 a 0.5.0
Descrição
O problema ocorre quando o NiFi Registry utiliza um mecanismo de autenticação diferente do PKI. Ao clicar em “Sair”, o NiFi Registry invalida o token de autenticação no lado do cliente, mas não consegue fazer o mesmo no lado do servidor. Isso permite que o token do lado do cliente do usuário seja utilizado por até 12 horas após o logout, possibilitando solicitações de API não autorizadas ao NiFi Registry.
Recomendações
Para as versões 0.1.0 a 0.5.0 do NiFi Registry, considere implementar um mecanismo de invalidação de token no lado do servidor para impedir o acesso não autorizado após o usuário sair da conta. Como solução alternativa temporária, restrinja as solicitações de API por um período de até 12 horas após o usuário sair da conta para minimizar o risco de exploração.
Correção
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nifi Registry