漏洞概述 CVE编号: CVE-2026-54665 漏洞名称: Apache NiFi: Missing Validation for Proxy Host Headers 描述: Apache NiFi 0.0.1 至 2.9.0 版本支持从多个 HTTP 请求头中构建合格的 URL,这些头提供了替代标准 Host 头的方法,但未对提供的值进行验证。Apache NiFi 1.6.0 引入了一个可配置的应用程序属性来限制 HTTP Host 头中提供的值,但未对替代 Proxy 和 Forwarded 头应用验证。缺少对代理主机头验证允许客户端指示 Apache NiFi Web 服务为重定向或数据引用构建无效的合格 URL。升级到 Apache NiFi 2.10.0 是推荐的缓解措施,该版本实现了对 X-ProxyHost 和 X-Forwarded-Host HTTP 请求头的验证,基于 nifi.web.proxy.host 属性。启用主机头验证需要配置应用程序使用 HTTPS。反向代理服务器负责过滤输入请求头并为应用程序提供允许的值。 跟踪编号: NIFI-15953 影响范围 受影响版本: Apache NiFi (org.apache.nifi:nifi-jetty) 0.0.1 至 2.9.0 修复方案 推荐措施: 升级到 Apache NiFi 2.10.0 或更高版本。 额外建议: 启用主机头验证,配置应用程序使用 HTTPS,并确保反向代理服务器过滤输入请求头。 时间线 报告日期: 2026-05-18 参考链接 Apache NiFi 官网 CVE 记录 JIRA 问题 贡献者 Jose Rivas (Finder) 其他信息 发布平台: Apache Proxy Mail 版本: Final v1.0.1 - 7mail7d 隐私政策: 隐私政策 问题咨询: 用户支持