CVE-2026-39816 in NiFiinfo

Zusammenfassung

von VulDB • 13.05.2026

Die optionale Erweiterungskomponente TinkerpopClientService fehlt die Restricted-Annotation mit der Berechtigung „Execute Code Required Permission“ in Apache NiFi 2.0.0-M1 bis 2.8.0. Der TinkerpopClientService unterstützt die Konfiguration der ByteCode-Übermittlung für den Script-Übermittlungstyp, wodurch die Ausführung von Groovy-Skripten im Dienst vor der Übermittlung der Abfrage ermöglicht wird. Das Fehlen der Restricted-Annotation ermöglicht es Benutzern ohne die Execute Code Permission, den Dienst in Installationen zu konfigurieren, die eine feingranulare Autorisierung verwenden und bei denen der optionale TinkerpopClientService installiert ist. Apache-NiFi-Installationen, bei denen nifi-other-graph-services-nar nicht installiert ist, sind von dieser Schwachstelle nicht betroffen. Das Upgrade auf Apache NiFi 2.9.0 wird als empfohlene Abhilfemaßnahme empfohlen.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Veröffentlichung

08.05.2026

Moderieren

akzeptiert

Eintrag

VDB-357175

CPE

bereit

EPSS

0.00016

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-39816
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-39816
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-39816/

ZurückÜbersichtWeiter

Want to stay up to date on a daily basis?

Enable the mail alert feature now!