Page 3 of 30 results (0.009 seconds)

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

In Apache NiFi 0.0.1 to 1.11.0, the flow fingerprint factory generated flow fingerprints which included sensitive property descriptor values. In the event a node attempted to join a cluster and the cluster flow was not inheritable, the flow fingerprint of both the cluster and local flow was printed, potentially containing sensitive values in plaintext. En Apache NiFi versiones 0.0.1 hasta 1.11.0, la fabrica de huella digitales de flujo generaba huellas digitales de flujo que incluían valores de descriptores de propiedades confidenciales. En el caso de que un nodo intentara unirse a un clúster y el flujo del clúster no fuera heredable, la huella digital de flujo del clúster y del flujo local fue impresa, lo que potencialmente contenía valores confidenciales en texto plano. • https://nifi.apache.org/security.html#CVE-2020-1942 • CWE-532: Insertion of Sensitive Information into Log File •

CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0

A XSS vulnerability was found in Apache NiFi 1.0.0 to 1.10.0. Malicious scripts could be injected to the UI through action by an unaware authenticated user in Firefox. Did not appear to occur in other browsers. Se detectó una vulnerabilidad de tipo XSS en Apache NiFi versiones 1.0.0 hasta 1.10.0. Pueden ser inyectados scripts maliciosos en la interfaz de usuario por medio de una acción por parte de un usuario autenticado desprevenido en Firefox. • https://nifi.apache.org/security.html#CVE-2020-1933 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0

When updating a Process Group via the API in NiFi versions 1.3.0 to 1.9.2, the response to the request includes all of its contents (at the top most level, not recursively). The response included details about processors and controller services which the user may not have had read access to. Cuando se actualiza un Process Group por medio de la API en NiFi versiones 1.3.0 hasta 1.9.2, la respuesta a la petición incluye todos sus contenidos (en el nivel más alto, no de manera recursiva). La respuesta incluyó detalles sobre los servicios de procesadores y controladores a los que el usuario puede no haber tenido acceso de lectura. • https://lists.apache.org/thread.html/rca37935d661f4689cb4119f1b3b224413b22be161b678e6e6ce0c69b%40%3Ccommits.nifi.apache.org%3E https://nifi.apache.org/security.html#CVE-2019-10083 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0

When using an authentication mechanism other than PKI, when the user clicks Log Out in NiFi versions 1.0.0 to 1.9.2, NiFi invalidates the authentication token on the client side but not on the server side. This permits the user's client-side token to be used for up to 12 hours after logging out to make API requests to NiFi. Cuando se utiliza un mecanismo de autenticación diferente de PKI, al momento que el usuario hace clic en el Log Out en NiFi versiones 1.0.0 hasta 1.9.2, NiFi invalida el token de autenticación en el lado del cliente pero no en el lado del servidor. Esto permite que el token del lado del cliente del usuario sea usado hasta 12 horas después de cerrar sesión para llevar a cabo peticiones de la API a NiFi. • https://lists.apache.org/thread.html/rca37935d661f4689cb4119f1b3b224413b22be161b678e6e6ce0c69b%40%3Ccommits.nifi.apache.org%3E https://nifi.apache.org/security.html#CVE-2019-12421 • CWE-613: Insufficient Session Expiration •

CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0

The XMLFileLookupService in NiFi versions 1.3.0 to 1.9.2 allowed trusted users to inadvertently configure a potentially malicious XML file. The XML file has the ability to make external calls to services (via XXE) and reveal information such as the versions of Java, Jersey, and Apache that the NiFI instance uses. El XMLFileLookupService en NiFi versiones 1.3.0 hasta 1.9.2, permitió a usuarios confiables configurar inadvertidamente un archivo XML potencialmente malicioso. El archivo XML tiene la capacidad de realizar llamadas externas a los servicios (mediante XXE) y revelar información tal y como las versiones de Java, Jersey y Apache que utilizan la instancia de NiFi. • https://lists.apache.org/thread.html/rca37935d661f4689cb4119f1b3b224413b22be161b678e6e6ce0c69b%40%3Ccommits.nifi.apache.org%3E https://nifi.apache.org/security.html#CVE-2019-10080 https://www.oracle.com/security-alerts/cpuApr2021.html • CWE-611: Improper Restriction of XML External Entity Reference •