PT-2022-19510 · Apache · Apache Nifi
David Handermann
·
Publicado
2022-04-30
·
Atualizado
2025-09-12
·
CVE-2022-29265
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache NiFi de 0.0.1 a 1.16.0
Descrição
O problema diz respeito a vários componentes do Apache NiFi que não restringem as referências a Entidades Externas XML na configuração padrão. Especificamente, o serviço Standard Content Viewer e certos processadores (EvaluateXPath, EvaluateXQuery, ValidateXml) tentam resolver referências a Entidades Externas XML quando configurados com valores de propriedade padrão. Isso torna as configurações de fluxo do Apache NiFi que incluem esses processadores vulneráveis a documentos XML maliciosos contendo Declarações de Tipo de Documento com referências a Entidades Externas XML.
Recomendações
Para as versões 0.0.1 a 1.16.0 do Apache NiFi, atualize para a versão 1.16.1 ou posterior, que desativa as Declarações de Tipo de Documento na configuração padrão dos processadores afetados e proíbe a resolução de Entidades Externas XML nos serviços padrão.
Como solução alternativa temporária, considere desativar os processadores
EvaluateXPath, EvaluateXQuery e ValidateXml até que um patch esteja disponível.Restrinja o acesso ao serviço Standard Content Viewer para minimizar o risco de exploração.
Evite usar documentos XML que contenham Declarações de Tipo de Documento com referências a Entidades Externas XML nas configurações de fluxo do Apache NiFi até que o problema seja resolvido.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Nifi