Apache NiFi 身份验证安全漏洞 (CVE

Apache NiFi 身份验证安全漏洞 (CVE-2019-12421)

发布日期：2019-11-18
更新日期：2019-11-22

受影响系统：

Apache Group NiFi 1.0.0 - 1.9.2

描述：

CVE(CAN) ID: CVE-2019-12421

Apache NiFi是Apache Software Foundation的一个软件项目，旨在自动化软件系统之间的数据流。该系统主要用于数据路由、转换和系统中介逻辑。

Apache NiFi 1.0.0版本至1.9.2版本，在身份验证机制中存在安全漏洞，该漏洞源于在用户注销后，NiFi将客户端的身份验证令牌失效，而非使服务器端的令牌失效。攻击者可利用该漏洞向NiFi发送API请求。

<*来源：Abdu Sahin
  *>

建议：

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：