Informazioni sul CVE-2023-34212
Apache NiFi: Potential Deserialization of Untrusted Data with JNDI in JMS Components
CWE ID: CWE-502
Base Score (CVSS): N/A
CVE: CVE-2023-34212
Descrizione: The JndiJmsConnectionFactoryProvider Controller Service, along with the ConsumeJMS and PublishJMS Processors, in Apache NiFi 1.8.0 through 1.21.0 allow an authenticated and authorized user to configure URL and library properties that enable deserialization of untrusted data from a remote location. The resolution validates the JNDI URL and restricts locations to a set of allowed schemes. You are recommended to upgrade to version 1.22.0 or later which fixes this issue.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://nifi.apache.org/security.html#CVE-2023-34212
- https://lists.apache.org/thread/w5rm46fxmvxy216tglf0dv83wo6gnzr5
- http://www.openwall.com/lists/oss-security/2023/06/12/2
Prodotti interessati
- Apache Software Foundation – Apache NiFi
Relazioni con altri prodotti
Produttore:Apache Software Foundation
Prodotto: Apache NiFi
Anno: 2023
CWE: CWE-502
CVSS: 0.0