0x01漏洞状态
漏洞细节 漏洞POC 漏洞EXP 在野利用 否 未知 未知 未知 |
0x02漏洞描述
Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。
2021年12月30日,360漏洞云团队监测到 Apache发布安全公告,修复了一个Apache NiFi 中的XXE漏洞。漏洞编号:CVE-2021-44145,漏洞威胁等级:中危,漏洞评分:6.5。
Apache NiFi XML外部实体注入(XXE)漏洞
Apache NiFi XML外部实体注入(XXE)漏洞 漏洞编号 CVE-2021-44145 漏洞类型 XXE 漏洞等级 中危(6.5) 公开状态 未知 在野利用 未知 漏洞描述 Apache NiFi 的 TransformXML 存在XML外部实体注入(XXE)漏洞,该漏洞源于在1.15.1之前的Apache NiFi的TransformXML处理器中,经过身份验证的用户可以配置XSLT文件,如果该文件包含恶意的外部实体调用,可能会暴露敏感信息。 成功利用该漏洞可能允许攻击者查看服务器上任意文件的内容或对内部和外部基础设施进行网络扫描。 |
0x03漏洞等级
风险级别 CVSS评分 高危 6.5 攻击方式 攻击复杂性 网络 低 特权要求 用户交互 不需要 不需要 机密影响 完整性影响 高危 无 可用性影响 范围影响 无 更改 |
0x04影响版本
0.1.0<=Apache NiFi<=1.15.0
0x05修复建议
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
Apache NiFi 1.15.1及更高版本。
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。