CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-9486
https://notcve.org/view.php?id=CVE-2020-9486
In Apache NiFi 1.10.0 to 1.11.4, the NiFi stateless execution engine produced log output which included sensitive property values. When a flow was triggered, the flow definition configuration JSON was printed, potentially containing sensitive values in plaintext. En Apache NiFi versiones 1.10.0 hasta 1.11.4, el motor de ejecución sin estado de NiFi produjo una salida de registro que incluía valores de propiedad confidenciales. Cuando un flujo era activado, se imprimía la configuración de definición de flujo JSON, potencialmente conteniendo valores confidenciales en texto sin formato • https://nifi.apache.org/security#CVE-2020-9486 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-1942
https://notcve.org/view.php?id=CVE-2020-1942
In Apache NiFi 0.0.1 to 1.11.0, the flow fingerprint factory generated flow fingerprints which included sensitive property descriptor values. In the event a node attempted to join a cluster and the cluster flow was not inheritable, the flow fingerprint of both the cluster and local flow was printed, potentially containing sensitive values in plaintext. En Apache NiFi versiones 0.0.1 hasta 1.11.0, la fabrica de huella digitales de flujo generaba huellas digitales de flujo que incluían valores de descriptores de propiedades confidenciales. En el caso de que un nodo intentara unirse a un clúster y el flujo del clúster no fuera heredable, la huella digital de flujo del clúster y del flujo local fue impresa, lo que potencialmente contenía valores confidenciales en texto plano. • https://nifi.apache.org/security.html#CVE-2020-1942 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2020-1933
https://notcve.org/view.php?id=CVE-2020-1933
A XSS vulnerability was found in Apache NiFi 1.0.0 to 1.10.0. Malicious scripts could be injected to the UI through action by an unaware authenticated user in Firefox. Did not appear to occur in other browsers. Se detectó una vulnerabilidad de tipo XSS en Apache NiFi versiones 1.0.0 hasta 1.10.0. Pueden ser inyectados scripts maliciosos en la interfaz de usuario por medio de una acción por parte de un usuario autenticado desprevenido en Firefox. • https://nifi.apache.org/security.html#CVE-2020-1933 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-1928
https://notcve.org/view.php?id=CVE-2020-1928
An information disclosure vulnerability was found in Apache NiFi 1.10.0. The sensitive parameter parser would log parsed values for debugging purposes. This would expose literal values entered in a sensitive property when no parameter was present. Se detectó una vulnerabilidad de divulgación de información en Apache NiFi versión 1.10.0. El analizador de parámetros confidenciales registraría los valores analizados para fines de depuración. • https://lists.apache.org/thread.html/r17aaa3a05b5b7fe9075613dd0c681efa60a4f8c8fbad152c61371b6e%40%3Cusers.tomcat.apache.org%3E https://lists.apache.org/thread.html/r38a5b7943b9a62ecb853acc22ef08ff586a7b3c66e08f949f0396ab1%40%3Cusers.tomcat.apache.org%3E https://lists.apache.org/thread.html/rd50baccd1bbb96c2327d5a8caa25a49692b3d68d96915bd1cfbb9f8b%40%3Cusers.tomcat.apache.org%3E https://nifi.apache.org/security.html#CVE-2020-1928 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2019-10083
https://notcve.org/view.php?id=CVE-2019-10083
When updating a Process Group via the API in NiFi versions 1.3.0 to 1.9.2, the response to the request includes all of its contents (at the top most level, not recursively). The response included details about processors and controller services which the user may not have had read access to. Cuando se actualiza un Process Group por medio de la API en NiFi versiones 1.3.0 hasta 1.9.2, la respuesta a la petición incluye todos sus contenidos (en el nivel más alto, no de manera recursiva). La respuesta incluyó detalles sobre los servicios de procesadores y controladores a los que el usuario puede no haber tenido acceso de lectura. • https://lists.apache.org/thread.html/rca37935d661f4689cb4119f1b3b224413b22be161b678e6e6ce0c69b%40%3Ccommits.nifi.apache.org%3E https://nifi.apache.org/security.html#CVE-2019-10083 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •