PT-2024-31656 · Apache · Apache Nifi
Muhammad Hazim Bin Nor Aizi
·
Publicado
2024-10-29
·
Atualizado
2026-04-13
·
CVE-2024-45477
CVSS v4.0
5.1
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N |
Nome do software vulnerável e versões afetadas:
Versões do Apache NiFi de 1.10.0 a 1.27.0
Versões do Apache NiFi de 2.0.0-M1 a 2.0.0-M3
Descrição:
A vulnerabilidade permite que um usuário autenticado, autorizado a configurar um Contexto de Parâmetro, insira código JavaScript arbitrário no campo de descrição dos Parâmetros. Esse código será executado pelo navegador do cliente dentro do contexto da sessão do usuário autenticado, possibilitando ataques de cross-site scripting.
Recomendações:
Para as versões do Apache NiFi 1.10.0 a 1.27.0, atualize para o Apache NiFi 1.28.0.
Para as versões do Apache NiFi 2.0.0-M1 a 2.0.0-M3, atualize para o Apache NiFi 2.0.0-M4.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Nifi