PT-2020-20698 · Apache · Apache Nifi
Publicado
2020-10-01
·
Atualizado
2025-09-12
·
CVE-2020-9491
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache NiFi de 1.2.0 a 1.11.4
Descrição
O problema diz respeito ao suporte a versões desatualizadas do TLS na comunicação intracluster. Especificamente, a replicação de solicitações do cluster, Site-to-Site e filas com balanceamento de carga continuaram a oferecer suporte ao TLS v1.0 ou v1.1, apesar da interface do usuário (UI) e da API do NiFi exigirem o TLS v1.2.
Recomendações
Para as versões do Apache NiFi 1.2.0 a 1.11.4, considere atualizar a configuração para suportar apenas TLS v1.2 ou posterior na comunicação intracluster, a fim de minimizar o risco de exploração.
Correção
Use of a Broken Cryptographic Algorithm
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Nifi