Apache NiFi 跨站脚本漏洞CVE-2024-37389分析

Apache NiFi是美国阿帕奇（Apache）基金会的一套数据处理和分发系统，其主要用于数据路由、转换和系统中介逻辑。

Apache NiFi 支持多种数据格式，如日志、地理位置数据，社交订阅源等，且支持如SFTP、HDFS以及KAFKA等诸多协议。

因此它是一个功能强大、易于使用且可靠的数据处理和分发系统，可在不同数据源和目标系统之间传输和管理数据传输。

其可谓为数据流设计，它支持高度可配置的指示图的数据路由、转换和系统中介逻辑，支持从多种数据源动态拉取数据。

一、基本情况

Apache NiFi 基于NSA开发的Niagara Files技术，在八年后捐赠给Apache Software Foundation，目前最新版本为1.7.1。

Apache NiFi根据2004年1月Apache许可版本2.0进行分发，作为一个实时数据提取平台旨在自动执行系统之间的数据流。

Apache NiFi 为自动化系统之间的数据流而生，通过拖拽、连接、配置完成基于流程编程，实现数据采集、处理等功能。

提供基于Web用户界面，在设计、控制，反馈和监视间无缝切换，被广泛应用于数据路由、转换和系统中介逻辑等领域。

二、漏洞分析

安全人员监测到 Apache NiFi 存在一项跨站脚本漏洞，源自其参数文本配置说明字段，漏洞被标记为CVE-2024-37389。

该漏洞于2024年07月时被安全人员观测并报送，因其产品应用颇广泛引发广泛关注，所属漏洞编号CNVD-2024-33176。

尽管漏洞报送已有三个月之久，且厂商已经发布安全补丁，但安全专家依旧监测到不少受影响设备依旧没有修复漏洞。

经身份验证的攻击者可利用该漏洞，向系统输入任意JavaScript代码，客户端浏览器将在用户会话环境中执行这些代码。

这种攻击方式可能会造成敏感信息泄露、会话劫持等严重后果，该漏洞的存在对于系统的安全性和稳定性构成潜在威胁。

三、影响范围

Apache NiFi 2.x系列：2.0.0-M1至2.0.0-M3版本

Apache NiFi 1.x系列：1.10.0至1.26.0版本

四、修复建议

Apache NiFi 厂商已发布针对该漏洞的升级补丁，受影响用户需自行登录厂商官网，下载安装适合自己版本的安全补丁。

五、参考链接

https://lists.apache.org/thread/yso9fr0wtff53nk046h1o83hdyb1lrxh

https://www.cve.org/CVERecord?id=CVE-2024-37389

https://issues.apache.org/jira/powse/NIFI-13374