CVE-2017-15697
https://notcve.org/view.php?id=CVE-2017-15697
A malicious X-ProxyContextPath or X-Forwarded-Context header containing external resources or embedded code could cause remote code execution. The fix to properly handle these headers was applied on the Apache NiFi 1.5.0 release. Users running a prior 1.x release should upgrade to the appropriate release. Una cabecera X-ProxyContextPath o X-Forwarded-Context maliciosa que contenga recursos externos o código embebido puede provocar la ejecución remota de código. La solución para gestionar apropiadamente estas cabeceras se aplicó en la distribución 1.5.0 de Apache NiFi. • https://nifi.apache.org/security.html#CVE-2017-15697 • CWE-20: Improper Input Validation •
CVE-2017-5635
https://notcve.org/view.php?id=CVE-2017-5635
In Apache NiFi before 0.7.2 and 1.x before 1.1.2 in a cluster environment, if an anonymous user request is replicated to another node, the originating node identity is used rather than the "anonymous" user. En Apache NiFi, en versiones anteriores a la 0.7.2 y versiones 1.x, anteriores a la 1.1.2, en un entorno de clúster, si se copia la petición de un usuario anónimo a otro nodo, se utiliza la identidad del nodo que la originó en lugar de la del usuario "anónimo". • http://www.securityfocus.com/bid/96730 https://nifi.apache.org/security.html#CVE-2017-5635 • CWE-287: Improper Authentication •
CVE-2017-5636
https://notcve.org/view.php?id=CVE-2017-5636
In Apache NiFi before 0.7.2 and 1.x before 1.1.2 in a cluster environment, the proxy chain serialization/deserialization is vulnerable to an injection attack where a carefully crafted username could impersonate another user and gain their permissions on a replicated request to another node. En Apache NiFi, en versiones anteriores a la 0.7.2 y versiones 1.x, anteriores a la 1.1.2, en un entorno de clúster, la serialización o deserialización de la cadena proxy es vulnerable a un ataque de inyección en el que un nombre de usuario cuidadosamente manipulado podría suplantar a otro usuario y obtener sus permisos en una petición copiada a otro nodo. • http://www.securityfocus.com/bid/96731 https://nifi.apache.org/security.html#CVE-2017-5636 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVE-2017-12623
https://notcve.org/view.php?id=CVE-2017-12623
An authorized user could upload a template which contained malicious code and accessed sensitive files via an XML External Entity (XXE) attack. The fix to properly handle XML External Entities was applied on the Apache NiFi 1.4.0 release. Users running a prior 1.x release should upgrade to the appropriate release. Un usuario autorizado podría subir una plantilla que contenga código malicioso y que acceda a archivos sensibles mediante un ataque XEE (XML External Entity). La solución para manejar entidades externas XML se aplicó en la distribución 1.4.0 de Apache NiFi. • https://nifi.apache.org/security.html#CVE-2017-12623 • CWE-611: Improper Restriction of XML External Entity Reference •
CVE-2017-7667
https://notcve.org/view.php?id=CVE-2017-7667
Apache NiFi before 0.7.4 and 1.x before 1.3.0 need to establish the response header telling browsers to only allow framing with the same origin. Apache NiFi anterior a versión 0.7.4 y versión 1.x anterior a 1.3.0, necesita establecer el encabezado de respuesta indicando a los navegadores que solo permitan integrarlo con el mismo origen. • http://www.securityfocus.com/bid/99018 https://lists.apache.org/thread.html/d779d6129de1a5aa149c219b2fc6e9e78156614eaac92a89cbaf9bce%40%3Cdev.nifi.apache.org%3E • CWE-346: Origin Validation Error •