Page 5 of 30 results (0.007 seconds)

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

Apache NiFi JMS Deserialization issue because of ActiveMQ client vulnerability. Malicious JMS content could cause denial of service. See ActiveMQ CVE-2015-5254 announcement for more information. The fix to upgrade the activemq-client library to 5.15.3 was applied on the Apache NiFi 1.6.0 release. Users running a prior 1.x release should upgrade to the appropriate release. • https://nifi.apache.org/security.html#CVE-2018-1310 • CWE-502: Deserialization of Untrusted Data •

CVSS: 5.0EPSS: 0%CPEs: 1EXPL: 0

Any authenticated user (valid client certificate but without ACL permissions) could upload a template which contained malicious code and caused a denial of service via Java deserialization attack. The fix to properly handle Java deserialization was applied on the Apache NiFi 1.4.0 release. Users running a prior 1.x release should upgrade to the appropriate release. Cualquier usuario autenticado (certificado de cliente válido pero sin permisos de listas de control de acceso) podía cargar una plantilla que contenga código malicioso y provocar una denegación de servicio (DoS) mediante un ataque de deserialización de Java. La solución para manejar la deserialización de Java se aplicó en la distribución 1.4.0 de Apache NiFi. • https://nifi.apache.org/security.html#CVE-2017-15703 • CWE-502: Deserialization of Untrusted Data •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

A malicious host header in an incoming HTTP request could cause NiFi to load resources from an external server. The fix to sanitize host headers and compare to a controlled whitelist was applied on the Apache NiFi 1.5.0 release. Users running a prior 1.x release should upgrade to the appropriate release. Una cabecera de host manipulada en una petición HTTP entrante podría provocar que NiFi cargue recursos de un servidor externo. La solución para sanear cabeceras de host y compararlas con una lista blanca controlada se aplicó en la versión 1.5.0 de Apache NiFi. • https://nifi.apache.org/security.html#CVE-2017-12632 • CWE-20: Improper Input Validation •

CVSS: 9.8EPSS: 1%CPEs: 1EXPL: 0

A malicious X-ProxyContextPath or X-Forwarded-Context header containing external resources or embedded code could cause remote code execution. The fix to properly handle these headers was applied on the Apache NiFi 1.5.0 release. Users running a prior 1.x release should upgrade to the appropriate release. Una cabecera X-ProxyContextPath o X-Forwarded-Context maliciosa que contenga recursos externos o código embebido puede provocar la ejecución remota de código. La solución para gestionar apropiadamente estas cabeceras se aplicó en la distribución 1.5.0 de Apache NiFi. • https://nifi.apache.org/security.html#CVE-2017-15697 • CWE-20: Improper Input Validation •

CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0

In Apache NiFi before 0.7.2 and 1.x before 1.1.2 in a cluster environment, if an anonymous user request is replicated to another node, the originating node identity is used rather than the "anonymous" user. En Apache NiFi, en versiones anteriores a la 0.7.2 y versiones 1.x, anteriores a la 1.1.2, en un entorno de clúster, si se copia la petición de un usuario anónimo a otro nodo, se utiliza la identidad del nodo que la originó en lugar de la del usuario "anónimo". • http://www.securityfocus.com/bid/96730 https://nifi.apache.org/security.html#CVE-2017-5635 • CWE-287: Improper Authentication •