【漏洞公告】
近日,Apache Solr官方发布了安全更新,修复了Apache Solr 远程代码执行漏洞。攻击者可以在未授权的情况下利用此漏洞获取服务器权限。此漏洞影响范围广泛,目前官方发布安全版本,建议受影响的用户尽快采取安全措施。
相关链接:
https://solr.apache.org/news.html#apache-solrtm-920-available
【影响范围】
受影响版本:
8.11<= Apache Solr <= 9.1
安全版本:
Apache Solr = 9.2.0
【漏洞描述】
Apache Solr 是一个独立的企业级搜索应用服务器 ,它对外提供类似于Web-service 的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。
Apache Solr远程代码执行漏洞:该漏洞允许未经身份验证的攻击者通过构造特制的请求来实现远程代码执行,进而获取服务器权限。
细节是否公开 | POC状态 | EXP状态 | 在野利用 |
是 | 已公开 | 未公开 | 未发现 |
【缓解措施】
高危:目前漏洞细节和测试代码已公开,此漏洞影响范围广泛,建议受影响用户及时升级到安全版本。
官方建议:
1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载链接:https://solr.apache.org/downloads.html
