PT-2024-35118 · Apache · Apache Nifi
David Handermann
·
Publicado
2024-11-20
·
Atualizado
2025-02-11
·
CVE-2024-52067
CVSS v4.0
6.9
Média
| Vetor | AV:L/AC:L/AT:P/PR:H/UI:N/VC:H/VI:L/VA:N/SC:H/SI:L/SA:N/AU:Y/R:U/V:D/RE:L/U:Green |
Nome do software vulnerável e versões afetadas
Versões do Apache NiFi de 1.16.0 a 1.28.0
Versões do Apache NiFi de 2.0.0-M1 a 2.0.0-M4
Descrição
O problema diz respeito ao registro de depuração opcional dos valores de
Parameter Context durante o processo de sincronização de fluxo no Apache NiFi. Um administrador autorizado com acesso para alterar os níveis de registro poderia habilitar o registro de depuração, fazendo com que o aplicativo gravasse nomes e valores de Parameter no log do aplicativo. Os valores de Parameter Context podem conter informações confidenciais, dependendo da configuração do fluxo do aplicativo. Implantações com a configuração padrão do Logback não registram valores de Parameter Context.Recomendações
Para as versões 1.16.0 a 1.28.0 do Apache NiFi, atualize para o Apache NiFi 1.28.1 para eliminar o registro de valores de
Parâmetro do processo de sincronização de fluxo.Para as versões do Apache NiFi 2.0.0-M1 a 2.0.0-M4, atualize para o Apache NiFi 2.0.0 para eliminar o registro de valores de
Parâmetro do processo de sincronização de fluxo.Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Nifi