说明
国外安全研究员 s00py 在 GitHub 公开了 Apache Solr Velocity 模版注入远程命令执行的 exp。该漏洞 exp 可以直接在最新版 8.2.0 导致远程代码执行,影响范围可能包含全版本。
预防措施
官方尚未发布相应的补丁,在此之前,可以限制不可信来源对 solr 的访问,或参考如下链接内容,增加相应的登陆验证: https://lucene.apache.org/solr/guide/8_1/basic-authentication-plugin.html#enable-basic-authentication
来源:http://www.safe6.cn/
本文由 safe6 创作,著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。
本站的所有程序和文章,仅限用于学习和研究目的;不得用于商业或者非法用途,否则,一切后果请用户自负!! 最后编辑时间为: 2019-10-31
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论