Page 2 of 31 results (0.007 seconds)

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

In the TransformXML processor of Apache NiFi before 1.15.1 an authenticated user could configure an XSLT file which, if it included malicious external entity calls, may reveal sensitive information. En el procesador TransformXML de Apache NiFi versiones anteriores a 1.15.1, un usuario autenticado podía configurar un archivo XSLT que, si incluía llamadas a entidades externas maliciosas, podía revelar información confidencial • http://www.openwall.com/lists/oss-security/2021/12/17/1 https://nifi.apache.org/security.html#1.15.1-vulnerabilities • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 8.3EPSS: 0%CPEs: 10EXPL: 0

A flaw was found in jackson-databind before 2.9.10.7. FasterXML mishandles the interaction between serialization gadgets and typing. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability. Se encontró un fallo en jackson-databind versiones anteriores a 2.9.10.7. FasterXML maneja inapropiadamente la interacción entre los gadgets de serialización y escritura. • https://bugzilla.redhat.com/show_bug.cgi?id=1916633 https://github.com/FasterXML/jackson-databind/issues/2854 https://lists.apache.org/thread.html/r380e9257bacb8551ee6fcf2c59890ae9477b2c78e553fa9ea08e9d9a%40%3Ccommits.nifi.apache.org%3E https://lists.debian.org/debian-lts-announce/2021/04/msg00025.html https://security.netapp.com/advisory/ntap-20210219-0008 https://www.oracle.com//security-alerts/cpujul2021.html https://access.redhat.com/security/cve/CVE-2021-20190 • CWE-502: Deserialization of Untrusted Data •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

In Apache NiFi 1.2.0 to 1.11.4, the NiFi UI and API were protected by mandating TLS v1.2, as well as listening connections established by processors like ListenHTTP, HandleHttpRequest, etc. However intracluster communication such as cluster request replication, Site-to-Site, and load balanced queues continued to support TLS v1.0 or v1.1. En Apache NiFi versiones 1.2.0 hasta 1.11.4, la Interfaz de Usuario y la API de NiFi estaban protegidas al exigir TLS versión v1.2, así como las conexiones de escucha establecidas por procesadores como ListenHTTP, HandleHttpRequest, etc. Sin embargo, la comunicación intracluster, como la replicación de peticiones de clúster, Site -to-Site, y las colas de balanceo de carga continuaban admitiendo TLS versión v1.0 o v1.1 • https://lists.apache.org/thread.html/r2d9c21f9ec35d66f2bb42f8abe876dabd786166b6284e9a33582c718%40%3Ccommits.nifi.apache.org%3E https://lists.apache.org/thread.html/re48582efe2ac973f8cff55c8b346825cb491c71935e15ab2d61ef3bf%40%3Ccommits.nifi.apache.org%3E https://nifi.apache.org/security#CVE-2020-9491 • CWE-327: Use of a Broken or Risky Cryptographic Algorithm •

CVSS: 5.5EPSS: 0%CPEs: 1EXPL: 0

In Apache NiFi 1.0.0 to 1.11.4, the notification service manager and various policy authorizer and user group provider objects allowed trusted administrators to inadvertently configure a potentially malicious XML file. The XML file has the ability to make external calls to services (via XXE). En Apache NiFi versiones 1.0.0 hasta 1.11.4, el administrador del servicio de notificación y varios objetos del autorizador de políticas y proveedor de grupos de usuarios permitieron a los administradores confiables configurar inadvertidamente un archivo XML potencialmente malicioso. El archivo XML tiene la capacidad de hacer llamadas externas a servicios (por medio de XXE) • https://nifi.apache.org/security#CVE-2020-13940 • CWE-611: Improper Restriction of XML External Entity Reference •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

In Apache NiFi 1.0.0 to 1.11.4, the NiFi download token (one-time password) mechanism used a fixed cache size and did not authenticate a request to create a download token, only when attempting to use the token to access the content. An unauthenticated user could repeatedly request download tokens, preventing legitimate users from requesting download tokens. En Apache NiFi versiones 1.0.0 hasta 1.11.4, el mecanismo del token de descarga de NiFi (contraseña de un solo uso) usaba un tamaño de caché fijo y no autenticaba una petición para crear un token de descarga, solo cuando se intentaba usar el token para acceder al contenido. Un usuario no autenticado podría solicitar tokens de descarga de forma repetida, impidiendo que los usuarios legítimos soliciten tokens de descarga • https://nifi.apache.org/security#CVE-2020-9487 • CWE-306: Missing Authentication for Critical Function •