一、漏洞分析
漏洞编号:CNVD-2023-23555
公开日期:2023-03-24
危害级别:高 (AV:L/AC:L/Au:N/C:C/I:C/A:C)
二、漏洞描述
Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。
Apache NiFi 1.2.0版本至1.19.1版本存在XML外部实体注入漏洞,该漏洞源于未能限制XML外部实体引用。远程攻击者可利用该漏洞通过发送特制的XML文件读取文件。漏洞类型:通用型漏洞
三、影响产品
Apache Apache NiFi >=1.2.0,<=1.19.1
四、漏洞解决方案
厂商已发布了漏洞修复程序,请及时关注更新:
https://lists.apache.org/thread/b51qs6y7b7r58vovddkv6wc16g2xbl3w