PT-2026-51195 · Apache · Apache Nifi
Jose Rivas
·
Publicado
2026-06-20
·
Atualizado
2026-06-22
·
CVE-2026-54665
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:N/AU:Y/R:A/V:D/RE:L/U:Green |
Nome do Software Vulnerável e Versões Afetadas
Apache NiFi versões 0.0.1 a 2.9.0
Descrição
O Apache NiFi permite a construção de URLs qualificadas usando vários cabeçalhos de requisição HTTP que servem como alternativas ao cabeçalho Host padrão sem validar os valores fornecidos. Embora uma propriedade de aplicação configurável tenha sido introduzida na versão 1.6.0 para restringir o cabeçalho HTTP Host, essa validação não foi aplicada aos cabeçalhos Proxy e Forwarded. A ausência dessa validação permite que um cliente force os serviços web a criar URLs qualificadas inválidas para referências de dados ou redirecionamento. O problema envolve especificamente os cabeçalhos
X-ProxyHost e X-Forwarded-Host.Recomendações
Atualizar para a versão 2.10.0.
Configurar a aplicação com HTTPS para habilitar a validação de cabeçalhos através da propriedade
nifi.web.proxy.host.
Garantir que os servidores de proxy reverso filtrem os cabeçalhos de requisição de entrada para fornecer apenas valores permitidos à aplicação.Correção
Origin Validation Error
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Nifi