【漏洞预警】Apache Solr高危漏洞风险提示

发布者:李雪娇发布时间:2021-03-19浏览次数:10

Apache Solr高危漏洞风险提示:

 

【漏洞公告】

近日,监测到Apache Solr存在一个服务端请求伪造漏洞与任意文件读取漏洞,攻击者可以构造恶意HTTP请求读取目标Apache Solr服务器的任意文件。

 

【影响范围】

Apache Solr 任意版本

 

【漏洞描述】

根据分析Apache Solr在默认安装时不会开启身份验证,攻击者可以未授权访问Config API打开requestDispatcher.requestParsers.enableRemoteStreaming开关,进而通过构造恶意请求读取目标Apache Solr服务器的任意文件。已验证该漏洞的可利用性

 

【缓解措施】

高危:目前漏洞细节和攻击代码已经公开,建议部署了Apache Solr的用户尽快排查是否受影响。

官方建议:官方表示这不是一个漏洞,因此暂无官方解决方案。

临时缓解措施:

1、启用Apache Solr身份验证;

2、配置访问控制策略,避免Apache Solr暴露在互联网。