PT-2026-51284 · Apache · Apache Nifi
Publicado
2026-06-22
·
Atualizado
2026-06-22
·
CVE-2026-44914
CVSS v4.0
7.5
Alta
| Vetor | AV:N/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:P/AU:Y/R:U/V:C/RE:L/U:Clear |
Nome do Software Vulnerável e Versões Afetadas
Apache NiFi versões 1.12.0 a 2.9.0
Descrição
A autorização está ausente ao substituir Process Groups que incluem componentes de extensão com Permissões Necessárias específicas baseadas na anotação Restricted. A anotação Restricted indica que privilégios adicionais são necessários, mas a estrutura não verificou esse status ao processar solicitações para substituir Process Groups. Isso permite que um usuário com acesso de gravação geral adicione componentes com status Restricted. Instalações que não implementam autorização específica para componentes Restricted não são afetadas, pois a estrutura impõe permissões de gravação como limite de segurança.
Recomendações
Atualize para a versão 2.10.0.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Nifi