漏洞概述 CVE-2026-44914:Apache NiFi 在替换流程内容时缺少对受限权限的授权。 影响范围 受影响版本:Apache NiFi (org.apache.nifi:nifi-web-api) 1.12.0 至 2.9.0 描述:Apache NiFi 1.12.0 至 2.9.0 在替换包含特定所需权限的扩展组件的流程组时缺少授权。Restricted 注解表示需要额外的权限,但框架授权在处理替换流程组的请求时未检查受限状态。由于框架将写权限作为安全边界,因此未实施特定授权以限制受限组件的 Apache NiFi 安装不受此漏洞影响。升级到 Apache NiFi 2.9.0 是推荐的缓解措施,它移除了框架中受限状态授权的实现。 修复方案 推荐缓解措施:升级到 Apache NiFi 2.9.0 其他信息 报告时间:2026-04-27 跟踪编号:NIFI-15845 发现者:Roberto Suggi Liverani 来自北约网络安全中心 (NCSC) 参考链接: - https://nifi.apache.org/ - https://www.cve.org/CVERecord?id=CVE-2026-44914 - https://issues.apache.org/jira/browse/NIFI-15845 POC代码或利用代码 页面中未包含 POC 代码或利用代码。