BDU:2023-09120

Опубликовано: 22 нояб. 2023

Источник: fstec

CVSS3: 7.9

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость компонента JoltTransform платформы обработки данных Apache NiFi связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки

Вендор

Apache Software Foundation

Наименование ПО

NiFi

Версия ПО

от 0.7.0 до 1.24.0 (NiFi)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://lists.apache.org/thread/j8rd0qsvgoj0khqck5f49jfbp0fm8r1o

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-49145
CVE

EPSS

Процентиль: 52%

0.00293

Низкий

7.9 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2023-49145

CVSS3: 7.9

nvd

около 2 лет назад

Apache NiFi 0.7.0 through 1.23.2 include the JoltTransformJSON Processor, which provides an advanced configuration user interface that is vulnerable to DOM-based cross-site scripting. If an authenticated user, who is authorized to configure a JoltTransformJSON Processor, visits a crafted URL, then arbitrary JavaScript code can be executed within the session context of the authenticated user. Upgrading to Apache NiFi 1.24.0 or 2.0.0-M1 is the recommended mitigation.

GHSA-68pr-6fjc-wmgm

CVSS3: 7.9

github

около 2 лет назад

Improper Neutralization of Input in Advanced User Interface for Jolt

EPSS

Процентиль: 52%

0.00293

Низкий

7.9 High

CVSS3

6.8 Medium

CVSS2