La vulnérabilité d’Apache NiFi expose les pouvoirs MongoDB aux attaquants

  • Accueil
  • Non classé
  • La vulnérabilité d’Apache NiFi expose les pouvoirs MongoDB aux attaquants

La vulnérabilité d’Apache NiFi expose les pouvoirs MongoDB aux attaquants

Une vulnérabilité critique en matière de sécurité a été identifiée dans Apache NiFi, un outil populaire d’intégration de données open source.

La vulnérabilité, suivie sous le nom de CVE-2025-27017, permet aux utilisateurs autorisés ayant un accès lu au système de visualiser les identifiants sensibles utilisés pour se connecter aux bases de données MongoDB.

Cette faille de sécurité affecte plusieurs versions d’Apache NiFi, ce qui incite les utilisateurs à prendre des mesures urgentes pour protéger leurs systèmes.

Détails de la vulnérabilité

La vulnérabilité provoque l’inclusion des noms d’utilisateur et des mots de passe de MongoDB dans les événements de provenance NiFi générés par les composants MongoDB.

Cela signifie que toute personne ayant accès à ces événements peut extraire les identifiants, ce qui peut conduire à un accès non autorisé aux bases de données MongoDB.

Les versions suivantes d’Apache NiFi sont concernées:

Produits affectés Gamme de versions CVE
Apache NiFi 1.13.0 à 2.2.0 CVE-2025-27017

Pour atténuer cette vulnérabilité, il est conseillé aux utilisateurs de passer à Apache NiFi 2.3.0, qui supprime ces justificatifs sensibles des enregistrements d’événements de provenance. Cette version n’est pas affectée par cette vulnérabilité.

L’exposition des identifiants MongoDB peut avoir de graves incidences sur la sécurité des données.

Un accès non autorisé à ces bases de données pourrait conduire à des violations de données, à des manipulations ou à d’autres activités malveillantes. Il est donc essentiel que les utilisateurs des versions Apache NiFi concernées prennent des mesures immédiates.

Recommandation

Mise à niveau vers Apache NiFi 2.3.0 : La dernière version d’Apache NiFi supprime le stockage des identifiants MongoDB dans les enregistrements de provenance, éliminant ainsi le risque posé par cette vulnérabilité.

Surveiller l’accès au système : Veiller à ce que seul le personnel autorisé ait accès aux événements de provenance, en réduisant au minimum l’exposition potentielle des justificatifs d’identité.

La vulnérabilité a été découverte par Robert Creese, qui a été crédité d’avoir identifié et signalé ce problème critique.

L’équipe du projet Apache NiFi a agi rapidement pour s’attaquer au problème, soulignant l’importance de la participation de la communauté au maintien de la sécurité des logiciels.

En prenant des mesures proactives et en actualisant leurs systèmes, les utilisateurs peuvent protéger leurs données et prévenir les atteintes potentielles à la sécurité liée à cette vulnérabilité.

Post Your Comment

Abonnez-vous à notre newsletter

En vous abonnant à notre newsletter, vous serez toujours informé des dernières actualités, offres exclusives et conseils personnalisés, directement dans votre boîte de réception.

Transformez vos ambitions, en Compétences Professionnelles

Facebook-square Linkedin Youtube
Formations
Services
Nous Contacter