文章总结： ApacheNiFi的GetAsanaObject处理器存在高危反序列化漏洞CVE-2025-66524，CVSS7.5分。该漏洞源于对缓存中状态信息的未过滤Java对象反序列化，允许能访问缓存服务器的攻击者执行未经授权操作。官方已在2.7.0版本中通过改用JSON序列化修复此问题，建议用户立即升级。若无法升级，可临时移除该处理器以缓解风险。 综合评分： 91 文章分类： 漏洞分析,漏洞预警,应用安全

Apache NiFi 数据泄露：高危反序列化缺陷如何危及您的 Asana 工作流

sec随谈

sec随谈

2025年12月22日 09:04 北京

Apache 软件基金会发布了针对 Apache NiFi 的安全公告。Apache NiFi 是一款功能强大的数据处理引擎，被数千家企业用于自动化系统间的数据流。公告指出，该引擎的一个特定集成处理器中存在高危漏洞，攻击者可能利用未经过滤的数据反序列化漏洞来入侵系统。

该漏洞编号为 CVE-2025-66524，CVSS 评分为 7.5，对于依赖特定版本平台来管理其数据流的组织而言，这是一个重大风险。

该漏洞存在于 GetAsanaObject 处理器中，该组件用于将 NiFi 与 Asana 工作管理平台集成。问题源于该处理器处理状态信息的方式——具体而言，是它如何从分布式缓存中保存和检索数据。

根据安全公告，该处理器“使用了未经过滤的通用 Java 对象序列化和反序列化”。在 Java安全领域，“未经过滤的反序列化”通常意味着危险。这意味着应用程序在未事先验证的情况下就信任了接收到的数据结构。

报告警告称，“未经过滤的 Java 对象反序列化无法抵御存储在为 GetAsanaObject 配置的缓存服务器中的精心构造的状态信息。” 本质上，如果攻击者能够篡改缓存中的状态数据，NiFi 处理器就会盲目地接收这些数据，从而可能导致未经授权的系统行为。

虽然该漏洞十分严重，但对于远程外部人员来说，利用该漏洞并非易事。安全公告指出了一个特定的前提条件：“利用该漏洞需要运行了带有 GetAsanaObject 处理器的 Apache NiFi 系统，并且需要直接访问已配置的缓存服务器”。

这意味着攻击者很可能已经突破了网络边界或破坏了缓存基础设施才能发起攻击。

此次修复涉及软件数据处理方式的根本性转变。Apache NiFi 2.7.0 版本通过完全放弃存在风险的 Java 对象序列化方法解决了该问题。此次更新“用 JSON 序列化取代了 Java 对象序列化”，JSON 格式本质上更安全，也更容易验证。

如果升级不能立即实现，管理员可以通过删除位于 nifi-asana-processors-nar 包中的 GetAsanaObject 处理器来防止被利用。

参考链接：

https://lists.apache.org/thread/k9h004ydjg7opdvxr0nfywtzf33z60d7

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈《Apache NiFi 数据泄露：高危反序列化缺陷如何危及您的 Asana 工作流》