漏洞概述
2021年03月18日,WebRAY烽火台实验室监测到互联网上存在Apache Solr任意文件读取漏洞,该漏洞允许攻击者在未授权的情况下获取服务器敏感信息或文件,由于官网并未发布安全版本且网络上已有关于该漏洞的poc流出。WebRAY烽火台实验室提醒相关用户增加身份验证机制或禁止管理界面对公网开放。
Apache Solr是一款采用Java语言开发的企业级搜索应用服务器,提供了完善的功能管理界面和类似于Web-service的对外API接口,实现了可配置、可扩展的功能并对查询性能进行优化的一款全文搜索引擎。Apache Solr 中以 Document 为对象进行资源存储即每个文档由一系列的 Field 构成,每个 Field 表示资源的一个属性。Solr 中的每个 Document都有一个默认为id的名称来唯一标识其属性,在 Schema 配置文件中使用:<uniqueKey>id</uniqueKey>进行描述。
WebRAY烽火台实验室将持续关注该漏洞进展,并将第一时间为您更新该漏洞信息。
影响版本
| 漏洞编号 | 影响版本 | 漏洞类型 |
|
暂无 |
Apache Solr <= 8.8.1 | 任意文件读取漏洞 |
漏洞等级
WebRAY烽火台实验室风险评级:高危
修复建议
严格控制访问来源,可通过增加身份验证机制、禁止管理界面对公网开放、添加防火墙规则等方式进行控制。
产品服务
WebRAY安全类产品已支持对该漏洞的一键检测,详情请咨询销售人员,联系电话:4006-911-199。
来源:freebuf.com 2021-03-19 13:57:15 by: WebRAY
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册