CVE-2024-52067

  1. Yack CVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-52067

4.9 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.2 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required HIGH

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

A

pache NiFi 1.16.0 through 1.28.0 and 2.0.0-M1 through 2.0.0-M4 include optional debug logging of Parameter Context values during the flow synchronization process. An authorized administrator with access to change logging levels could enable debug logging for framework flow synchronization, causing the application to write Parameter names and values to the application log. Parameter Context values may contain sensitive information depending on application flow configuration. Deployments of Apache NiFi with the default Logback configuration do not log Parameter Context values. Upgrading to Apache NiFi 2.0.0 or 1.28.1 is the recommendation mitigation, eliminating Parameter value logging from the flow synchronization process regardless of the Logback configuration.

References
Link Resource
https://lists.apache.org/thread/9rz5rwn2zc7pfjq7ppqldqlc067tlcwd Mailing List
http://www.openwall.com/lists/oss-security/2024/11/20/2 Mailing List
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:apache:nifi:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone1:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc1:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc2:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc3:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc4:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc5:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc6:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone2:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone2-rc1:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone2-rc2:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone2-rc3:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone2-rc4:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone3:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone3-rc1:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone4:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone4-rc1:*:*:*:*:*:*
History

11 Feb 2025, 16:26

Type Values Removed Values Added
Summary
  • (es) Apache NiFi 1.16.0 a 1.28.0 y 2.0.0-M1 a 2.0.0-M4 incluyen el registro de depuración opcional de los valores de contexto de parámetros durante el proceso de sincronización de flujo. Un administrador autorizado con acceso a los niveles de registro de cambios podría habilitar el registro de depuración para la sincronización de flujo del marco, lo que haría que la aplicación escriba los nombres y valores de los parámetros en el registro de la aplicación. Los valores de contexto de parámetros pueden contener información confidencial según la configuración del flujo de la aplicación. Las implementaciones de Apache NiFi con la configuración predeterminada de Logback no registran los valores de contexto de parámetros. La actualización a Apache NiFi 2.0.0 o 1.28.1 es la mitigación recomendada, que elimina el registro de valores de parámetros del proceso de sincronización de flujo independientemente de la configuración de Logback.
First Time Apache
Apache nifi
References () https://lists.apache.org/thread/9rz5rwn2zc7pfjq7ppqldqlc067tlcwd - () https://lists.apache.org/thread/9rz5rwn2zc7pfjq7ppqldqlc067tlcwd - Mailing List
References () http://www.openwall.com/lists/oss-security/2024/11/20/2 - () http://www.openwall.com/lists/oss-security/2024/11/20/2 - Mailing List
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 4.9
CPE cpe:2.3:a:apache:nifi:2.0.0:milestone2-rc3:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone2-rc1:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc2:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone3:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone3-rc1:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone4:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc1:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone2-rc4:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc4:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc5:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:*:*:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone2:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone4-rc1:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc3:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone1:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone1-rc6:*:*:*:*:*:*
cpe:2.3:a:apache:nifi:2.0.0:milestone2-rc2:*:*:*:*:*:*

21 Nov 2024, 13:57

Type Values Removed Values Added
New CVE
Information

Published : 2024-11-21 11:15

Updated : 2025-02-11 16:26

NVD link : CVE-2024-52067

Mitre link : CVE-2024-52067

CVE.ORG link : CVE-2024-52067

JSON object : View

Products Affected

apache

CWE
CWE-532

Insertion of Sensitive Information into Log File