CVE-2026-25903

Nome do Software Vulnerável e Versões Afetadas Versões 1.1.0 a 2.7.2 do Apache NiFi

Descrição Instalações do Apache NiFi são afetadas por uma falta de verificação de autorização ao atualizar propriedades de configuração em componentes de extensão com Permissões Necessárias específicas com base na anotação Restricted. A anotação Restricted indica privilégios adicionais necessários para adicionar um componente à configuração do fluxo, mas o framework não verificava o status restrito durante atualizações em componentes previamente adicionados. Isso permite que um usuário com privilégios mais baixos modifique a configuração de componentes restritos, possivelmente comprometendo a lógica do fluxo de dados ou acionando ações inseguras. Instalações que não implementam diferentes níveis de autorização para componentes Restricted não são afetadas, já que o framework depende das permissões de escrita como limite de segurança.

Recomendações Atualize para a versão 2.8.0 do Apache NiFi para resolver este problema.