PT-2020-20696 · Apache · Apache Nifi
Publicado
2020-10-01
·
Atualizado
2025-09-12
·
CVE-2020-9486
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache NiFi de 1.10.0 a 1.11.4
Descrição
O problema diz respeito ao mecanismo de execução sem estado do NiFi, que gera saídas de log contendo valores de propriedades confidenciais. Quando um fluxo é acionado, a configuração JSON da definição do fluxo é exibida, podendo conter valores confidenciais em texto simples.
Recomendações
Para as versões 1.10.0 a 1.11.4 do Apache NiFi, considere desativar o registro do JSON de configuração da definição do fluxo para evitar que valores confidenciais sejam impressos em texto simples. Restrinja o acesso à saída de log para minimizar o risco de exposição de informações confidenciais.
Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Nifi