「Apache NiFi」に認可管理不備の脆弱性 - 修正版が公開
データフローの管理ツールである「Apache NiFi」の一部API処理に脆弱性が明らかとなった。脆弱性を解消したアップデートが提供されている。
「同2.7.2」から「同1.1.0」までのバージョンにおいて認可処理の不備に起因する脆弱性「CVE-2026-25903」が確認されたもの。現地時間2026年2月6日にメーリングリストにおいて報告された。
本来高い権限が必要とされる「Restrictedアノテーション」を持つ拡張コンポーネントの設定を更新する際、追加の権限確認が行われない脆弱性で、低い権限のユーザーによる設定変更が可能だという。
「Restrictedコンポーネント」に特別な認可レベルを設定していない場合は、フレームワークに対する権限が適用されるため、同脆弱性の直接的な影響はないとしている。
共通脆弱性評価システム「CVSSv4.0」におけるベーススコアは「8.7」、重要度は4段階中、上から2番目にあたる「高(High)」とレーティングされている。
開発チームでは、「Apache NiFi 2.8.0」にて脆弱性を修正しており、利用者にアップデートを呼びかけている。
(Security NEXT - 2026/02/18 )
ツイート
関連リンク
PR
関連記事
「MOVEit Transfer」に複数脆弱性 - 最新版へ更新を
「IBM WebSphere Application Server」の管理画面に複数脆弱性
「JetBrains」の複数製品に脆弱性 - 「クリティカル」など修正
「Microsoft Defender」に権限昇格の脆弱性 - 修正を実施
SnowflakeのPython向け開発フレームワークに脆弱性
「Cisco ISE」や「RoomOS」に脆弱性 - 7月15日に修正予定
iOS版「Firefox」にアドレスバー偽装が可能となる脆弱性
VPNクライアント「Omnissa Workspace ONE Tunnel」のWindows版に脆弱性
「IBM API Connect」にアップデート - 依存関係含む多数脆弱性を解消
ブラウザ「Chrome」にアップデート - 脆弱性27件を修正
