Apache NiFi XML外部实体注入漏洞

 漏洞资讯     |      2023-04-12

一、漏洞分析

漏洞编号:CNVD-2023-23555

公开日期:2023-03-24

危害级别:高 (AV:L/AC:L/Au:N/C:C/I:C/A:C)

二、漏洞描述

Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。

Apache NiFi 1.2.0版本至1.19.1版本存在XML外部实体注入漏洞,该漏洞源于未能限制XML外部实体引用。远程攻击者可利用该漏洞通过发送特制的XML文件读取文件。漏洞类型:通用型漏洞

三、影响产品

Apache Apache NiFi >=1.2.0,<=1.19.1

四、漏洞解决方案

厂商已发布了漏洞修复程序,请及时关注更新:

https://lists.apache.org/thread/b51qs6y7b7r58vovddkv6wc16g2xbl3w