CVE-2022-33140

ALT: (8.8)

CVSS3: 7.5

Apatxe NiFi i NiFi Registry podrien permetre a un atacant remot autenticat executar ordres arbitràries en el sistema, a causa de la validació inadequada dels arguments per a les ordres de resolució de grups en el ShellUserGroupProvider opcional. En enviar una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per a executar ordres arbitràries en el sistema.

Sistemes Afectats

• Apache NiFi 1.10.0
• Apache NiFi Registry 0.6.0
• Apache NiFi Registry 1.16.2
• Apache NiFi 1.16.2

Remediació
No hi ha cap remei disponible en data del 15 de juny de 2022.

Referències

• https://seclists.org/oss-sec/2022/q2/198
• https://nifi.apache.org/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-33140