安全通告
Apache NiFi 命令注入漏洞风险通告
发布日期:2022-6-17
漏洞描述
Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。2022年6月15日,Apache发布安全公告,修复了一个存在于Apache NiFi 中的命令注入漏洞。
漏洞编号
CVE-2022-33140
漏洞危害
Apache NiFi 1.10.0 到 1.16.2 和 Apache NiFi Registry 0.6.0 到 1.16.2 中的可选 ShellUserGroupProvider 不会中和组解析命令的参数,从而允许在 Linux 和 macOS 平台上注入操作系统命令。
要求:
1.ShellUserGroupProvider 是 Authorizers 配置中启用的用户组提供者之一。
2.具有提升权限的经过身份验证的用户。
(1)Apache NiFi 需要经过身份验证的用户有权修改访问策略以执行命令。
(2)Apache NiFi Registry 需要经过身份验证的用户有权读取用户组来执行命令。
漏洞等级
高危
受影响版本
Apache NiFi – Apache
>=1.10.0&&<=1.16.2
Apache NiFi Registry – Apache
>=0.6.0 &&<=1.16.2
修复方案
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
NiFi 和 NiFi Registry 版本 1.16.3
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
参考链接
- https://nifi.apache.org/security.html#CVE-2022-33140