CVE-2024-37389

Опубликовано: 08 июл. 2024

Источник: nvd

CVSS3: 4.6

CVSS3: 5.4

EPSS Низкий

Описание

Apache NiFi 1.10.0 through 1.26.0 and 2.0.0-M1 through 2.0.0-M3 support a description field in the Parameter Context configuration that is vulnerable to cross-site scripting. An authenticated user, authorized to configure a Parameter Context, can enter arbitrary JavaScript code, which the client browser will execute within the session context of the authenticated user. Upgrading to Apache NiFi 1.27.0 or 2.0.0-M4 is the recommended mitigation.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:nifi:*:*:*:*:*:*:*:*

Версия от 1.10.0 (включая) до 1.27.0 (исключая)

cpe:2.3:a:apache:nifi:2.0.0:milestone1:*:*:*:*:*:*

cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc1:*:*:*:*:*:*

cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc2:*:*:*:*:*:*

cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc3:*:*:*:*:*:*

cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc4:*:*:*:*:*:*

cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc5:*:*:*:*:*:*

cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc6:*:*:*:*:*:*

cpe:2.3:a:apache:nifi:2.0.0:milestone2:*:*:*:*:*:*

cpe:2.3:a:apache:nifi:2.0.0:milestone2-rc1:*:*:*:*:*:*

cpe:2.3:a:apache:nifi:2.0.0:milestone2-rc2:*:*:*:*:*:*

cpe:2.3:a:apache:nifi:2.0.0:milestone2-rc3:*:*:*:*:*:*

cpe:2.3:a:apache:nifi:2.0.0:milestone2-rc4:*:*:*:*:*:*

cpe:2.3:a:apache:nifi:2.0.0:milestone3:*:*:*:*:*:*

cpe:2.3:a:apache:nifi:2.0.0:milestone3-rc1:*:*:*:*:*:*

EPSS

Процентиль: 76%

0.00947

Низкий

4.6 Medium

CVSS3

5.4 Medium

CVSS3

Дефекты

CWE-79

Связанные уязвимости

GHSA-h658-qqv9-qwv8

CVSS3: 5.4

github

больше 1 года назад

Apache NiFi vulnerable to Cross-site Scripting

EPSS

Процентиль: 76%

0.00947

Низкий

4.6 Medium

CVSS3

5.4 Medium

CVSS3

Дефекты

CWE-79