Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-02251

Опубликовано: 20 нояб. 2024
Источник: fstec
CVSS3: 6.7
CVSS2: 5.2
EPSS Низкий

Описание

Уязвимость компонента Parameter Context платформы обработки данных Apache NiFi связана с раскрытием информации через регистрационные файлы. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальной информации

Вендор

Apache Software Foundation

Наименование ПО

NiFi

Версия ПО

от 1.16.0 до 1.28.0 (NiFi)
от 2.0.0-M1 до 2.0.0-M4 (NiFi)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,2)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)
Средний уровень опасности (оценка CVSS 4.0 составляет 6,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://lists.apache.org/thread/9rz5rwn2zc7pfjq7ppqldqlc067tlcwd

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 7%
0.00027
Низкий

6.7 Medium

CVSS3

5.2 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-52067

CVSS3: 4.9
nvd
около 1 года назад

Apache NiFi 1.16.0 through 1.28.0 and 2.0.0-M1 through 2.0.0-M4 include optional debug logging of Parameter Context values during the flow synchronization process. An authorized administrator with access to change logging levels could enable debug logging for framework flow synchronization, causing the application to write Parameter names and values to the application log. Parameter Context values may contain sensitive information depending on application flow configuration. Deployments of Apache NiFi with the default Logback configuration do not log Parameter Context values. Upgrading to Apache NiFi 2.0.0 or 1.28.1 is the recommendation mitigation, eliminating Parameter value logging from the flow synchronization process regardless of the Logback configuration.

github логотип

GHSA-v3vc-6qcv-4vrx

github
12 месяцев назад

Apache NiFi: Potential Insertion of Sensitive Parameter Values in Debug Log

EPSS

Процентиль: 7%
0.00027
Низкий

6.7 Medium

CVSS3

5.2 Medium

CVSS2