严重性:重要
受影响的版本:- 9.3.0 之前的 Apache Solr 9.0.0
描述:Apache Solr 中未经授权的参与者漏洞暴露敏感信息。
Solr Metrics API 发布每个 Apache Solr 实例可用的所有未受保护的环境变量。用户可以指定要隐藏哪些环境变量,但是,默认列表旨在适用于已知的秘密 Java 系统属性。环境变量不能像 Java 系统属性那样在 Solr 中严格定义,并且可以为整个主机设置,这与按 Java 进程设置的 Java 系统属性不同。
Solr Metrics API 受“metrics-read”权限的保护。
因此,具有授权设置的 Solr 云仅会受到具有“指标读取”权限的用户的攻击。
此问题影响 Apache Solr:从 9.0.0 到 9.3.0。
建议用户升级到9.3.0及以上版本,该版本不再通过Metrics API发布环境变量。
原文始发于微信公众号(Ots安全):CVE-2023-50290 Apache Solr 未授权访问漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论