CVE-2025-27017: Apache NiFi Vulnerability Exposes MongoDB Credentials
2025/03/12 SecurityOnline — 世界中の数多くの組織で利用される、人気のデータフロー自動化ツール Apache NiFi に、セキュリティ脆弱性 CVE-2025-27017 が発見された。この脆弱性の悪用により、機密性の高い MongoDB 認証情報への不正アクセスの可能性が生じるという。その影響の範囲は、Apache NiFi のバージョン 1.13.0 〜 2.2.0 となる。
NiFi が提供するデータ・パイプラインの用途は広く、サイバーセキュリティ/データ監視/イベント・ストリーム/生成 AI アプリケーションなどの自動化で使用されている。この脆弱性は、NiFi の provenance records に、つまり、システム内でのデータ処理の記録に、MongoDB のユーザー名/パスワードが含まれることに起因する。
Apache NiFi のセキュリティ・アドバイザリでは、「これらの処理の provenance records に対する、読み取りアクセス権を持つ承認済みユーザーは、認証情報の参照が可能になる。つまり、provenance records にアクセスできる攻撃者であれは、MongoDB 認証情報を抽出し、データベースに保存されている機密データへの不正アクセスの可能性を得る」と警告されている。
すでに Apache は、NiFi 2.3.0 をリリースし、この脆弱性を解決している。すべてのユーザーに強く推奨されるのは、速やかに最新リリースへとアップグレードし、資格情報の漏洩リスクを軽減することだ。最新のリリース 2.3.0 では、provenance records から資格情報が削除されており、権限のないユーザーによる不正アクセスが防止されている。
Apache NiFi を使用している組織は、最新バージョンへの更新を優先し、MongoDB 資格情報を保護し、潜在的なデータ侵害を防ぐ必要がある。
Apache NiFi に、MongoDB のユーザー名/パスワードを抽出できてしまうという、恐ろしい欠陥が発見されました。幸い、NiFi 2.3.0 で修正されているとのことですので、ご利用のチームは、ご確認下さい。なお、この製品に関連する直近の脆弱性は、2024/12/29 の「Apache NiFi CVE-2024-56512 が FIX:機密情報への不正アクセスなどの可能性」です。よろしければ、Apache NiFi で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.