Apache Solr高危漏洞风险提示:
【漏洞公告】
近日,监测到Apache Solr存在一个服务端请求伪造漏洞与任意文件读取漏洞,攻击者可以构造恶意HTTP请求读取目标Apache Solr服务器的任意文件。
【影响范围】
Apache Solr 任意版本
【漏洞描述】
根据分析Apache Solr在默认安装时不会开启身份验证,攻击者可以未授权访问Config API打开requestDispatcher.requestParsers.enableRemoteStreaming开关,进而通过构造恶意请求读取目标Apache Solr服务器的任意文件。已验证该漏洞的可利用性。
【缓解措施】
高危:目前漏洞细节和攻击代码已经公开,建议部署了Apache Solr的用户尽快排查是否受影响。
官方建议:官方表示这不是一个漏洞,因此暂无官方解决方案。
临时缓解措施:
1、启用Apache Solr身份验证;
2、配置访问控制策略,避免Apache Solr暴露在互联网。
