Apache NiFi 漏洞列表

Apache NiFi Api未授权访问导致命令执行

Apache NiFi server was able to be accessed because no authentication was required. SHODAN: title:"NiFi" FOFA: title="nifi" && body="Did you mean"

Apache NiFi 1.10.0 through 2.0.0 are missing fine-grained authorization checking for Parameter Contexts, referenced Controller Services, and referenced Parameter Providers, when creating new Process Groups. Creating a new Process Group can include binding to a Parameter Context, but in cases where the Process Group did not reference any Parameter values, the framework did not check user authorization for the bound Parameter Context. Missing authorization for a bound Parameter Context enabled clients to download non-sensitive Parameter values after creating the Process Group.

ApacheNiFi是一款用于提取、转换和加载数据的软件工具。NiFi通过内置处理器集成了许多不同的数据类型和文件格式。通过集成FTL、SQL、CSV、Snowflake、Kafka、AWS等，处理数据变得像拖放一样简单。Apache NiFi 中存在未授权访问漏洞，可能允许攻击者未经授权访问系统中的敏感信息，造成数据信息泄露。

Apache NiFi 是美国阿帕奇（Apache）基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。Apache NiFi 存在远程命令执行漏洞， 攻击者可以利用该漏洞执行任意命令。

Apache NiFi 是一个易于使用、功能强大而且可靠的数据处理和分发系统。Apache NiFi是为数据流设计。它支持高度可配置的指示图的数据路由、转换和系统中介逻辑。目前最新版本Apache NiFiApi存在命令执行漏洞，攻击者可通过该漏洞获取服务器权限。请关注官方网址https://nifi.apache.org/获取修复方案。