[4]CVE202456512Apache NiFi 漏洞会将敏感数据暴露给未经授权的用户-小百科

小百科,大世界
在广泛使用的数据处理和分发系统 Apache NiFi 中新发现的一个漏洞，可能允许未经授权访问敏感信息。该漏洞被追踪为 CVE-2024-56512，影响 1.10.0 至 2.0.0 的所有 NiFi 版本。全球数以千计的组织都在使用 NiFi 自动化数据管道，用于各种目的，包括网络安全、可观测性甚至生成式人工智能。该漏洞破坏了平台的授权检查，可能会允许恶意行为者访问敏感数据。该漏洞源于在 NiFi 中创建新流程组时缺乏细粒度授权。攻击者可以利用这一漏洞：访问参数上下文：即使不引用特定参数值，攻击者也能通过绑定到参数上下文下载非敏感参数。利用未经授权的控制器服务和参数提供程序：通过引用现有的控制器服务或参数提供程序，攻击者可以绕过授权并访问这些组件。虽然该漏洞仅限于拥有创建流程组权限的验证用户，但它对依赖基于组件的授权策略的组织构成了重大风险。利用该漏洞可能会导致数据泄露、关键系统的未经授权访问以及重要数据管道的中断。 Apache NiFi 团队已在 2.1.0 版本中解决了这一漏洞。强烈建议用户立即升级到该版本。 CVE-2024-56512 的发现突出表明，在管理敏感数据和操作流程的系统中，强大的授权机制至关重要。由于 Apache NiFi 为从金融、医疗保健到制造和政府等行业的数据管道提供支持，因此确保这些工作流的安全性至关重要。使用 Apache NiFi 的组织不仅应使用建议的补丁，还应评估其更广泛的安全态势。采用积极主动的网络安全方法（包括定期更新、审计和严格的访问控制）可以降低类似漏洞带来的风险。本文翻译自securityonline 原文链接。如若转载请注明出处。商务合作，文章发布请联系 anquanke@360.cn 本文由安全客原创发布转载，请参考转载声明，注明出处： /post/id/303149 安全KER - 有思想的安全新媒体 [来源: 安全客]
首页 / 计算机 / IT资讯

在广泛使用的数据处理和分发系统 Apache NiFi 中新发现的一个漏洞，可能允许未经授权访问敏感信息。该漏洞被追踪为 CVE-2024-56512，影响 1.10.0 至 2.0.0 的所有 NiFi 版本。

全球数以千计的组织都在使用 NiFi 自动化数据管道，用于各种目的，包括网络安全、可观测性甚至生成式人工智能。该漏洞破坏了平台的授权检查，可能会允许恶意行为者访问敏感数据。

该漏洞源于在 NiFi 中创建新流程组时缺乏细粒度授权。攻击者可以利用这一漏洞：

访问参数上下文： 即使不引用特定参数值，攻击者也能通过绑定到参数上下文下载非敏感参数。
利用未经授权的控制器服务和参数提供程序： 通过引用现有的控制器服务或参数提供程序，攻击者可以绕过授权并访问这些组件。

虽然该漏洞仅限于拥有创建流程组权限的验证用户，但它对依赖基于组件的授权策略的组织构成了重大风险。利用该漏洞可能会导致数据泄露、关键系统的未经授权访问以及重要数据管道的中断。

Apache NiFi 团队已在 2.1.0 版本中解决了这一漏洞。强烈建议用户立即升级到该版本。

CVE-2024-56512 的发现突出表明，在管理敏感数据和操作流程的系统中，强大的授权机制至关重要。由于 Apache NiFi 为从金融、医疗保健到制造和政府等行业的数据管道提供支持，因此确保这些工作流的安全性至关重要。

使用 Apache NiFi 的组织不仅应使用建议的补丁，还应评估其更广泛的安全态势。采用积极主动的网络安全方法（包括定期更新、审计和严格的访问控制）可以降低类似漏洞带来的风险。

本文翻译自securityonline 原文链接。如若转载请注明出处。

商务合作，文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载，请参考转载声明，注明出处： /post/id/303149

安全KER - 有思想的安全新媒体

[来源: 安全客]

[4]CVE202456512Apache NiFi 漏洞会将敏感数据暴露给未经授权的用户 繁體

[4]CVE202456512Apache NiFi 漏洞会将敏感数据暴露给未经授权的用户 ^繁體