近日，我司监测到Apache发布安全公告，修复了一个存在于Apache NiFi 中的命令注入漏洞。Apache NiFi 1.10.0 到 1.16.2 和 Apache NiFi Registry 0.6.0 到 1.16.2 中的可选 ShellUserGroupProvider 不会中和组解析命令的参数，从而允许在 Linux 和 macOS 平台上注入操作系统命令。ShellUserGroupProvider 不包含在默认配置中。命令注入要求 ShellUserGroupProvider 是授权方配置中启用的用户组提供程序之一。命令注入还需要具有提升权限的经过身份验证的用户。Apache NiFi需要经过身份验证的用户授权修改访问策略以执行命令。Apache NiFi Registry 需要经过身份验证的用户授权读取用户组才能执行命令。

Apache NiFi是美国阿帕奇（Apache）基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。

影响版本

• 1.10.0 <= Apache NiFi <= 1.16.2
• 0.6.0 <= Apache NiFi Registry <= 1.16.2

1.10.0 <= Apache NiFi <= 1.16.2，0.6.0 <= Apache NiFi Registry <= 1.16.2

修复建议：

官方已发布安全版本，请及时下载更新，下载地址：https://nifi.apache.org/download.html