Apache NiFi 1.8.0 到 1.21.0 中的 JndiJmsConnectionFactoryProvider 控制器服务以及 ConsumeJMS 和 PublishJMS 处理器允许经过身份验证和授权的用户配置 URL 和库属性,从而能够从远程位置反序列化不受信任的数据。
概念证明:更多细节和利用过程可以在这个PDF中找到。
https://github.com/mbadanoiu/CVE-2023-34212/blob/main/Apache%20NiFi%20-%20CVE-2023-34212.pdf
斗象智能安全 漏洞复现
Apache NiFi JMS JNDI 反序列化漏洞(CVE-2023-34212)
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(Ots安全):CVE-2023-34212:通过 Apache NiFi 中的 JNDI 组件进行 Java 反序列化
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论