概要
Apache NiFiユーザーは、高深刻度の認証フラウオール(CVE-2026-25903)が公開されたことを受け、アップグレードを強く推奨されています。この脆弱性により、一部の拡張コンポーネントの設定プロパティを変更できる可能性があります。
脆弱性詳細
Apache NiFiは、バージョン1.1.0から2.7.2までで、特定の「制限」拡張コンポーネントが追加された後にその設定プロパティを変更する際の認証チェックを欠いていると報告しています。この問題により、より低い権限を持つ認証ユーザーが、より高い権限を持つユーザーによって追加された「制限」拡張コンポーネントの設定プロパティを変更できる可能性があります。
影響範囲
- CVE ID: CVE-2026-25903
- 深刻度: 高い
- 影響するバージョン: 1.1.0から2.7.2まで
脆弱性の核心
この問題は、「追加」と「更新」の間にあるギャップに起因しています。より高い権限を持つユーザーが必要な制限コンポーネントをフロー構成に追加する一方で、既存のフロー内にあるコンポーネントが更新される際にその制限状態は確認されません。
対策
Apache NiFi 2.8.0へのアップグレード: この脆弱性を修正するための推奨された対応策です。また、現在のフロー変更ポリシーをレビューし、コンポーネントプロパティの変更を監査し、制限コンポーネントが意図した役割によって設定を変更できないことを確認することも重要です。
まとめ
Apache NiFiのこの脆弱性は、環境に応じて異なる認証レベルを持つ「制限」コンポーネントを使用している場合に特に影響があります。適切な対策を講じることで、システムの安全性を確保することが可能です。