CVE-2025-66524

Nome do Software Vulnerável e Versões Afetadas Versões do Apache NiFi de 1.20.0 a 2.6.0

Descrição O processador GetAsanaObject no Apache NiFi utiliza um Serviço de Cliente de Cache de Mapa Distribuído para gerenciamento de estado. Este processador emprega serialização e desserialização de objetos Java sem filtragem adequada, criando um potencial de exploração por meio de informações de estado manipuladas armazenadas no servidor de cache. A exploração bem-sucedida requer acesso ao servidor de cache configurado e a um sistema Apache NiFi executando o processador GetAsanaObject.

Recomendações Atualize para o Apache NiFi versão 2.7.0, que substitui a serialização de objetos Java pela serialização JSON. Remova o processador GetAsanaObject localizado no pacote nifi-asana-processors-nar.