CVE-2022-26850

Versões do Apache NiFi anteriores à 1.16.0

O problema ocorre ao criar ou atualizar credenciais para acesso de usuário único no Apache NiFi. O NiFi grava uma cópia da configuração dos provedores de identidade de login no diretório temporário do sistema operacional, que possui permissões globais de leitura na maioria das plataformas. Embora o NiFi mova imediatamente o arquivo temporário para o diretório de configuração final, limitando a janela de oportunidade para acesso, a vulnerabilidade ainda persiste. A classe org.apache.nifi.authentication.single.user.writer.StandardLoginCredentialsWriter contém uma vulnerabilidade de divulgação de informações locais devido à gravação de credenciais em um arquivo legível por todos os outros usuários em sistemas do tipo Unix.

Para versões anteriores à 1.16.0, atualize para o Apache NiFi 1.16.0 ou posterior para substituir a configuração dos Provedores de Identidade de Login sem gravar um arquivo no diretório temporário do sistema operacional.

Como solução alternativa temporária, considere definir a variável de ambiente do sistema java.io.tmpdir para um diretório de propriedade exclusiva do usuário executante para corrigir essa vulnerabilidade em todos os sistemas operacionais.