【漏洞通告】Apache NiFi MiNiFi C++证书验证不当漏洞安全风险通告

近日，嘉诚安全监测到Apac++he NiFi MiNiFi C++中修复了一个证书验证不当漏洞，漏洞编号为：CVE-2023-41180。

Apache NiFi是一个易于使用、功能强大而且可靠的数据拉取、数据处理和分发系统，用于自动化管理系统之间的数据流。MiNiFi是Apache NiFi的子项目。Apache NiFi MiNiFi C++是一种补充性数据收集方法，补充了NiFi在数据流管理方面的核心原则，重点关注数据创建源头的收集。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

经研判，该漏洞为高危漏洞。在受影响版本中，InvokeHTTP存在证书验证不当，由于InvokeHTTP的Disable Peer Verification（禁用对等验证）属性被有效翻转，在使用HTTPS时默认禁用验证，可能导致中间人在TLS握手协商期间提供伪造的证书。

影响范围：

Apache NiFi MiNiFi C++版本：0.13.0 - 0.14.0

根据影响版本中的信息，建议相关用户尽快更新至安全版本：

Apache NiFi MiNiFi C++ 版本：0.15.0

下载链接请参考：

https://github.com/apache/nifi-minifi-cpp/tags