1. 极安网首页
  2. 网络安全新闻

Apache Solr configset upload文件上传漏洞(CVE-2020-13957)

Apache Solr configset upload文件上传漏洞(CVE-2020-13957)-极安网

漏洞描述

近日Apache Solr发布安全更新,修复了CVE-2020-13957 Apache Solr configset upload文件上传漏洞。攻击者通过构造特定的请求,成功利用该漏洞可直接获取服务器权限。

Apache Solr是用Java编写、运行在Servlet容器(如Apache Tomcat或Jetty)的一个独立的全文搜索服务器。是Apache Lucene项目的开源企业搜索平台。其主要功能包括全文检索、命中标示、分面搜索、动态聚类、数据库集成,以及富文本(如Word、PDF)的处理。Apache Solr Configset Api上传功能存在未授权漏洞。攻击者可以构造特定请求,上传相关恶意文件,从而直接获取到服务器权限。

漏洞详情

漏洞编号: CVE-2020-13957

漏洞等级

高危

影响范围

Apache Solr 6.6.0-6.6.5
ApacheSolr 7.0.0-7.7.3
ApacheSolr 8.0.0-8.6.2

修复建议

升级至安全版本

1. 如果未使用ConfigSets API,请禁用UPLOAD命令,将系统属性:configset.upload.enabled 为 false,详细参考:

https://lucene.apache.org/solr/guide/8_6/configsets-api.html

2. 使用身份验证/授权,详细参考:

https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html

3. 在SOLR-14663中应用修补程序:

https://issues.apache.org/jira/browse/SOLR-14663

4、如果无法升级,请考虑应用SOLR-14663公告中的补丁;

https://issues.apache.org/jira/browse/SOLR-14663

5、不要将Solr API(包括Admin UI)暴露给不受信任的第三方,调整防火墙,确保只有受信任IP和用户才能访问。

相关链接

https://issues.apache.org/jira/browse/SOLR-14925
https://issues.apache.org/jira/browse/SOLR-14663

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/2586.html