目录

【高危】Apache Solr 环境变量信息泄漏漏洞

漏洞描述

Apache Solr 是一款开源的搜索引擎。

在 Apache Solr 受影响版本中,由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有 metrics-read 权限的情况下,攻击者可以通过向 /solr/admin/metrics 端点发送恶意请求,从而获取到运行 Solr 实例的主机上的所有系统环境变量,包括敏感信息的配置、密钥等。

漏洞名称 Apache Solr 环境变量信息泄漏漏洞
漏洞类型 未授权敏感信息泄露
发现时间 2024/1/13
漏洞影响广度 广
MPS编号 MPS-xjy6-0kiu
CVE编号 CVE-2023-50290
CNVD编号 -

影响范围

org.apache.solr:solr-core@[9.0.0, 9.3.0)

solr@[9.0.0, 9.3.0)

修复方案

将 org.apache.solr:solr-core 升级至 9.3.0 及以上版本

将组件 solr 升级至 9.3.0 及以上版本

参考链接

OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

oss-security - CVE-2023-50290: Apache Solr: Host environment variables are published via the Metrics API

[SOLR-16808] Solr publishes environment variables via the Metrics API - ASF JIRA

https://issues.apache.org/jira/secure/attachment/13058326/SOLR-16808.patch

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自于百度、华为、乌云等企业,旗下的 MurphySec 软件供应链安全平台提供资产识别管理、风险检测、安全控制、一键修复等能力。

免费漏洞情报订阅

平台会通过实时监控多方渠道并进行人工分析,一手情报订阅地址:OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

免费代码安全检测工具

丰富的漏洞库及强大的检测能力,杜绝漏洞带来的风险隐患,工具地址: 墨菲安全 | 为您提供专业的软件供应链安全管理

开源项目

核心检测能力已开源,欢迎各位同学 Star⭐️

https://github.com/murphysecurity/murphysec/?sf=qbyj

本文是转载文章,点击查看原文
如有侵权,请联系 xyy@jishuzhan.net 删除
相关推荐
半路_出家ren12 分钟前
动态路由, RIP路由协议,RIPv1,RIPv2
网络·网络安全·rip·路由协议·动态路由·ripv1·ripv2
virelin_Y.lin1 小时前
系统与网络安全------网络通信原理(4)
安全·web安全·ip·路由
c30%001 小时前
攻防世界——Web题ez_curl
学习·安全
360安全应急响应中心2 小时前
ingress-nightmare 漏洞利用分析与 k8s 相关组件理解
安全
Lfsd2 小时前
从 SYN Flood 到 XSS:常见网络攻击类型、区别及防御要点
网络·安全·xss
iknow1812 小时前
【Web安全】如何在 CDN 干扰下精准检测 SSRF?Nuclei + Interactsh 实战
安全·web安全
GIS数据转换器6 小时前
全域数字化:从“智慧城市”到“数字生命体”的进化之路
大数据·人工智能·安全·机器学习·计算机视觉·智慧城市
☆firefly☆6 小时前
[MRCTF2020]ezpop wp
web安全·网络安全
见青..7 小时前
【学习笔记】文件上传漏洞--中间件解析漏洞、编辑器安全
笔记·学习·安全
AORO_BEIDOU15 小时前
遨游科普:三防平板可以实现哪些功能?
科技·5g·安全·智能手机·电脑·信息与通信