The optional extension component TinkerpopClientService is missing the Restricted annotation with the Execute Code Required Permission in Apache NiFi 2.0.0-M1 through 2.8.0. The TinkerpopClientService supports configuration of ByteCode Submission for the Script Submission Type, enabling Groovy Script execution in the service prior to submitting the query. The missing Restricted annotation allows users without the Execute Code Permission to configure the Service in installations that use fine-grained authorization and have the optional TinkerpopClientService installed. Apache NiFi installations that do not have the nifi-other-graph-services-nar installed are not subject to this vulnerability. Upgrading to Apache NiFi 2.9.0 is the recommended mitigation.
CVE-2026-39816 is a privilege escalation vulnerability in Apache NiFi's TinkerpopClientService that allows unauthorized code execution through missing permission restrictions on Groovy script submission. Users without Execute Code permission can bypass authorization controls in affected versions 2.0.0-M1 through 2.8.0 when the optional nifi-other-graph-services-nar component is installed.
يتعلق هذا الضعف بمكون TinkerpopClientService الاختياري في Apache NiFi حيث يفتقد التعليق التوضيحي المقيد (Restricted Annotation) الذي يفرض صلاحية تنفيذ الأكواد. يسمح هذا النقص للمستخدمين غير المصرح لهم بتكوين الخدمة وتنفيذ أكواد Groovy بشكل تعسفي في الأنظمة التي تستخدم التفويض الدقيق. الإصدارات المتأثرة تشمل 2.0.0-M1 حتى 2.8.0، والحل الموصى به هو الترقية إلى الإصدار 2.9.0.
This vulnerability affects Apache NiFi deployments in Saudi Arabia that use the optional TinkerpopClientService component, potentially allowing unauthorized users to execute arbitrary code and compromise data processing pipelines. Organizations using NiFi for critical data integration tasks should prioritize upgrading to version 2.9.0 to prevent unauthorized code execution.
Upgrade Apache NiFi to version 2.9.0 or later immediately. If immediate upgrade is not possible, disable or remove the nifi-other-graph-services-nar component from installations that do not require graph database functionality. Implement strict access controls and monitoring for NiFi service configurations, and restrict administrative access to authorized personnel only.
قم بترقية Apache NiFi إلى الإصدار 2.9.0 أو أحدث فوراً. إذا لم تتمكن من الترقية الفورية، قم بتعطيل أو إزالة مكون nifi-other-graph-services-nar من التثبيتات التي لا تتطلب وظائف قواعد البيانات الرسومية. طبق ضوابط وصول صارمة ومراقبة لتكوينات خدمات NiFi، وقيد الوصول الإداري للموظفين المصرح لهم فقط.