CVE-2017-12632
https://notcve.org/view.php?id=CVE-2017-12632
A malicious host header in an incoming HTTP request could cause NiFi to load resources from an external server. The fix to sanitize host headers and compare to a controlled whitelist was applied on the Apache NiFi 1.5.0 release. Users running a prior 1.x release should upgrade to the appropriate release. Una cabecera de host manipulada en una petición HTTP entrante podría provocar que NiFi cargue recursos de un servidor externo. La solución para sanear cabeceras de host y compararlas con una lista blanca controlada se aplicó en la versión 1.5.0 de Apache NiFi. • https://nifi.apache.org/security.html#CVE-2017-12632 • CWE-20: Improper Input Validation •
CVE-2017-15697
https://notcve.org/view.php?id=CVE-2017-15697
A malicious X-ProxyContextPath or X-Forwarded-Context header containing external resources or embedded code could cause remote code execution. The fix to properly handle these headers was applied on the Apache NiFi 1.5.0 release. Users running a prior 1.x release should upgrade to the appropriate release. Una cabecera X-ProxyContextPath o X-Forwarded-Context maliciosa que contenga recursos externos o código embebido puede provocar la ejecución remota de código. La solución para gestionar apropiadamente estas cabeceras se aplicó en la distribución 1.5.0 de Apache NiFi. • https://nifi.apache.org/security.html#CVE-2017-15697 • CWE-20: Improper Input Validation •
CVE-2017-12623
https://notcve.org/view.php?id=CVE-2017-12623
An authorized user could upload a template which contained malicious code and accessed sensitive files via an XML External Entity (XXE) attack. The fix to properly handle XML External Entities was applied on the Apache NiFi 1.4.0 release. Users running a prior 1.x release should upgrade to the appropriate release. Un usuario autorizado podría subir una plantilla que contenga código malicioso y que acceda a archivos sensibles mediante un ataque XEE (XML External Entity). La solución para manejar entidades externas XML se aplicó en la distribución 1.4.0 de Apache NiFi. • https://nifi.apache.org/security.html#CVE-2017-12623 • CWE-611: Improper Restriction of XML External Entity Reference •
CVE-2017-7667
https://notcve.org/view.php?id=CVE-2017-7667
Apache NiFi before 0.7.4 and 1.x before 1.3.0 need to establish the response header telling browsers to only allow framing with the same origin. Apache NiFi anterior a versión 0.7.4 y versión 1.x anterior a 1.3.0, necesita establecer el encabezado de respuesta indicando a los navegadores que solo permitan integrarlo con el mismo origen. • http://www.securityfocus.com/bid/99018 https://lists.apache.org/thread.html/d779d6129de1a5aa149c219b2fc6e9e78156614eaac92a89cbaf9bce%40%3Cdev.nifi.apache.org%3E • CWE-346: Origin Validation Error •
CVE-2017-7665
https://notcve.org/view.php?id=CVE-2017-7665
In Apache NiFi before 0.7.4 and 1.x before 1.3.0, there are certain user input components in the UI which had been guarding for some forms of XSS issues but were insufficient. En Apache NiFi anterior a versión 0.7.4 y versión 1.x anterior a 1.3.0, se presentan ciertos componentes de entrada de usuario en la interfaz de usuario (UI) que habían estado protegiendo algunas formas de XSS reflejado pero fueron insuficientes. • http://www.securityfocus.com/bid/99009 https://lists.apache.org/thread.html/d779d6129de1a5aa149c219b2fc6e9e78156614eaac92a89cbaf9bce%40%3Cdev.nifi.apache.org%3E • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •