Описание
The XMLFileLookupService in NiFi versions 1.3.0 to 1.9.2 allowed trusted users to inadvertently configure a potentially malicious XML file. The XML file has the ability to make external calls to services (via XXE) and reveal information such as the versions of Java, Jersey, and Apache that the NiFI instance uses.
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 1.3.0 (включая) до 1.9.2 (включая)
cpe:2.3:a:apache:nifi:*:*:*:*:*:*:*:*
EPSS
Процентиль: 66%
0.00512
Низкий
6.5 Medium
CVSS3
4 Medium
CVSS2
Дефекты
CWE-611
Связанные уязвимости
CVSS3: 6.5
fstec
больше 6 лет назад
Уязвимость компонента XMLFileLookupService платформы обработки данных Apache NiFi, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
Процентиль: 66%
0.00512
Низкий
6.5 Medium
CVSS3
4 Medium
CVSS2
Дефекты
CWE-611