TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > ツール: Apache NiFi > 「Apache NiFi」の「Asana」連携の一部処理にRCE脆弱性

「Apache NiFi」の「Asana」連携の一部処理にRCE脆弱性

ツール: Apache NiFi CVE-2025-66524

【要点】

◎Apache NiFiのAsana連携プロセッサにRCE脆弱性(CVE-2025-66524)。NiFi 1.20.0~2.6.0が影響を受け、2.7.0で修正済み。 (Security NEXT)


【要約】

データフロー管理ツール「Apache NiFi」において、タスク管理ツールAsana連携用プロセッサ「GetAsanaObject」の処理に、リモートコード実行(RCE)につながる脆弱性(CVE-2025-66524)が判明した。本件はJavaオブジェクトのデシリアライズ処理に起因し、進捗情報などを保存する外部ストアが改ざんされた場合、NiFiが不正な状態情報を参照することで任意コードを実行されるおそれがある。影響を受けるのはNiFi 1.20.0から2.6.0までで、CVSSv4.0のベーススコアは7.5(High)と評価されている。開発チームはNiFi 2.7.0で修正を行っており、アップデート、または該当プロセッサの削除といった回避策の実施が推奨されている。


【ニュース】

◆「Apache NiFi」の「Asana」連携の一部処理にRCE脆弱性 (Security NEXT, 2025/12/29)
https://www.security-next.com/179163

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022