菜单
漏洞描述:
Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。
监测到Apache NiFi发布安全公告,修复了一个存在于Apache NiFi 中的代码注入漏洞。Apache NiFi 0.0.2到1.21.0中的DBCPConnectionPool和HikariCPConnectionPool控制器服务允许经过认证和授权的用户用配置h2数据库URL,从而可以实现远程代码执行。
影响版本:
0.0.2<=Apache NiFi<1.22.0
修复建议
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
Apache NiFi 1.22.0
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
临时防护方案:
1. 限制能访问Apache nifi 服务的IP为白名单。
粤公网安备 44010402002568号