【中危】- Apache Solr stream.url SSRF与任意文件读取漏洞预警
■ 漏洞描述
Apache Solr全版本存在一个SSRF(服务器端请求伪造)与文件读取漏洞。任意文件读取漏洞,因Apache Solr整体默认安装为未授权,且大部分资产都为未授权,提供众多api接口,支持未授权用户通过config api更改配置文件,攻击面较大。
■ 影响范围
全版本,且官方表示暂不准备修复。
■ 漏洞检测
验证solr是否存在身份验证或公网可访问
■ 漏洞修复
限制web服务内网访问
■ 临时修复
限制web服务内网访问
■ 漏洞详情
https://mp.weixin.qq.com/s/SmH79tRQvgOL4tGsy8aP9A
Apache Solr全版本存在一个SSRF(服务器端请求伪造)与文件读取漏洞。任意文件读取漏洞,因Apache Solr整体默认安装为未授权,且大部分资产都为未授权,提供众多api接口,支持未授权用户通过config api更改配置文件,攻击面较大。
■ 影响范围
全版本,且官方表示暂不准备修复。
■ 漏洞检测
验证solr是否存在身份验证或公网可访问
■ 漏洞修复
限制web服务内网访问
■ 临时修复
限制web服务内网访问
■ 漏洞详情
https://mp.weixin.qq.com/s/SmH79tRQvgOL4tGsy8aP9A