【预警通报】关于Apache Solr SSRF与任意文件读取高危漏洞的预警通报
近日,我中心技术支撑单位监测发现Apache Solr全版本存在一个SSRF(服务器端请求伪造)与任意文件读取高危漏洞,攻击者利用该漏洞可读取系统任意文件。
一、漏洞情况
Apache Solr是一个独立的企业级搜索应用服务器,多数企业运用solr开源服务,部署于公司内网。由于Apache Solr的某些功能存在过滤不严格,在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或文件任意文件读取。
二、影响范围
Solr全版本产品。
三、处置建议
建议广大用户禁止将Solr API以及管理UI直接对公网开放,以减小被攻击的风险。
附件:参考链接:
https://cwiki.apache.org/confluence/display/solr/SolrSecurity
