CVE-2023-34212

ALT: (8,8)

CVSS3: 7,7

Apache NiFi podria permetre a un atacant remot autenticat executar codi arbitrari al sistema causat per una deserialització insegura al servei de controlador JndiJmsConnectionFactoryProvider. Mitjançant l’enviament d’ordres especialment dissenyades, l’atacant podria explotar aquesta vulnerabilitat per executar codi arbitrari al sistema.

Sistemes Afectats

• Apache NiFi 1.8.0
• Apache NiFi 1.21.0

Remediació
Actualitzi a l’última versió d’Apache NiFi (1.22.0 o posterior), disponible al lloc web d’Apache. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://seclists.org/oss-sec/2023/q2/220
• https://nifi.apache.org/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-34212