มีการเปิดเผยช่องโหว่ความรุนแรงสูงใน Apache NiFi ซึ่งทำให้ระบบเสี่ยงต่อการถูกข้ามการอนุญาต ทำให้ผู้ใช้ที่มีสิทธิ์ต่ำสามารถแก้ไขส่วนประกอบที่ถูกจำกัดได้ ช่องโหว่นี้มีรหัส CVE-2026-25903 ส่งผลกระทบต่อ Apache NiFi เวอร์ชัน 1.1.0 ถึง 2.7.2 และได้รับการแก้ไขแล้วในเวอร์ชัน 2.8.0 ปัญหาเกิดจากการขาดการตรวจสอบการอนุญาต ทำให้ผู้ใช้ที่มีสิทธิ์น้อยสามารถเปลี่ยนแปลงการกำหนดค่าของส่วนประกอบที่ละเอียดอ่อนได้ หลังจากที่ส่วนประกอบเหล่านั้นถูกเพิ่มโดยผู้ใช้ที่มีสิทธิ์สูง ซึ่งเป็นการหลีกเลี่ยงขอบเขตการอนุญาตที่ตั้งใจไว้
Severity: สูง
System Impact:
- Apache NiFi เวอร์ชัน 1.1.0 ถึง 2.7.2
Technical Attack Steps:
- ผู้ใช้ที่มีสิทธิ์สูงเพิ่มส่วนประกอบที่ถูกจำกัด (Restricted components) ลงใน Apache NiFi data flow
- เนื่องจากช่องโหว่ในการตรวจสอบการอนุญาต ผู้ใช้ที่มีสิทธิ์ต่ำกว่าสามารถแก้ไขพารามิเตอร์การกำหนดค่าของส่วนประกอบที่ถูกจำกัดนั้นได้ โดยไม่ต้องผ่านการตรวจสอบที่เหมาะสม
- การโจมตีนี้สามารถนำไปสู่การแก้ไขการกำหนดค่า Data Flow, การเรียกใช้คำสั่งระบบที่ไม่ปลอดภัย หรือการเปลี่ยนแปลงตรรกะการประมวลผลข้อมูล
Recommendations:
Short Term:
- อัปเกรด Apache NiFi เป็นเวอร์ชัน 2.8.0 หรือใหม่กว่าทันที
Long Term:
- ทบทวนและปรับปรุงโมเดลการอนุญาต (authorization model) ในสภาพแวดล้อมของ Apache NiFi เพื่อให้แน่ใจว่ามีการบังคับใช้การตรวจสอบสิทธิ์ที่เหมาะสมสำหรับส่วนประกอบที่ถูกจำกัดทั้งหมด
Source: https://cybersecuritynews.com/apache-nifi-vulnerability/
Share this content: