Apache Solr远程命令执行漏洞

综述

今日,国外的安全研究员_S00pY在GitHub发布了关于Apache Solr利用Velocity模板来达成远程命令执行的POC。绿盟科技研究人员经分析后确认该POC有效,造成的影响较大。Apache Solr官方尚未发布相关补丁修复该漏洞。

参考链接:

https://gist.github.com/s00py/a1ba36a3689fa13759ff910e179fc133

影响产品版本

具体影响版本未知,经测试以下版本受影响:

  • Apache Solr 8.2.0  (最新版本)

不受影响产品版本

Apache Solr目前尚未发布新版本修复该漏洞

解决方案

Apache Solr官方尚未发布补丁修复该漏洞,请用户保持关注。

https://lucene.apache.org/solr/

用户可以检查是否存在Configoverlay.json配置文件,并且确保其中的 “solr.resource.loader.enabled”设置为False,并且开启Solr实例安全认证来进行临时防护。

发表评论

评论已关闭。

相关文章