Apache NiFi 存在XSS 漏洞 (CVE-2024-37389)

Apache NiFi 是一个广泛使用的数据处理和分发平台，它发布了安全公告，敦促用户立即修补其系统。该漏洞被追踪为CVE-2024-37389，可能允许经过身份验证的攻击者在用户的会话上下文中执行恶意 JavaScript 代码，从而可能危及敏感数据和系统完整性。

该漏洞源于参数上下文配置的描述字段中输入清理不当。有权配置参数上下文的攻击者可以注入任意 JavaScript 代码，然后由客户端浏览器执行。这可能导致一系列攻击，包括会话劫持、数据窃取，甚至远程代码执行。

该漏洞由 abay.sh 的 Akbar Kustirama 发现，并负责任地将其报告给 Apache NiFi 项目。

Apache NiFi 广泛应用于各行各业，用于自动化数据管道，包括网络安全、可观察性、事件流和生成式 AI 应用程序。此漏洞的潜在影响是巨大的，因为受感染的系统可能会泄露机密数据、破坏关键操作，甚至成为进一步攻击的发射台。

该漏洞影响了 Apache NiFi 的多个版本，从 1.10.0 到 1.26.0 以及 2.0.0-M1 到 2.0.0-M3。强烈建议用户升级到 Apache NiFi 1.27.0或2.0.0-M4，因为该漏洞已经得到解决。

公告：

https://nifi.apache.org/documentation/security/

原文始发于微信公众号（独眼情报）：Apache NiFi 存在XSS 漏洞 (CVE-2024-37389)