CVE-2022-26850

MITJÀ: (4.3) 

CVSS6: 3.8

Apache NiFi podria permetre a un atacant remot autenticat obtenir informació sensible, causada per l’emmagatzematge del nom d’usuari i un hash bcrypt de la contrasenya configurada al fitxer de configuració de proveïdors d’identitat d’inici de sessió en crear o actualitzar credencials per a l’accés d’un sol usuari. En accedir al fitxer de configuració, un atacant podria explotar aquesta vulnerabilitat per obtenir informació d’usuari i contrasenya, i utilitzar aquesta informació per llançar nous atacs contra el sistema afectat.

Sistemes Afectats
Apache NiFi 1.15.0

Remediació
Actualitzeu a l’última versió d’Apache NiFi (1.16.0 o posterior), disponible des del lloc web Apache.

Referències

• https://seclists.org/oss-sec/2022/q2/10
• https://nifi.apache.org/security.html
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26850