Apache_Solr环境变量信息泄漏漏洞(CVE-2023-50290)

漏洞简介

Apache Solr 是一款开源的搜索引擎。

在 Apache Solr 受影响版本中,由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有 metrics-read 权限的情况下,攻击者可以通过向 /solr/admin/metrics 端点发送恶意请求,从而获取到运行 Solr 实例的主机上的所有系统环境变量,包括敏感信息的配置、密钥等。

影响范围

org.apache.solr:solr-core@[9.0.0, 9.3.0)

solr@[9.0.0, 9.3.0)

使用条件

默认无认证或者具有metrics-read 权限

如果不满足这种条件会需要用户名和密码

poc

直接访问下面的链接即可

/solr/admin/metrics

漏洞复现

修复建议

1、升级Apache Solr 至 9.3.0 及其以上版本

2、增加认证授权

相关推荐
mingzhi6112 小时前
渗透测试-快速获取目标中存在的漏洞(小白版)
安全·web安全·面试·职场和发展
安胜ANSCEN14 小时前
加固筑牢安全防线:多源威胁检测响应在企业网络安全运营中的核心作用
网络·安全·web安全·威胁检测·自动化响应
超栈17 小时前
蓝桥杯-网络安全比赛题目-遗漏的压缩包
前端·网络·sql·安全·web安全·职场和发展·蓝桥杯
黑龙江亿林等级保护测评18 小时前
DDOS防护介绍
网络·人工智能·安全·web安全·智能路由器·ddos
kali-Myon19 小时前
NewStarCTF2024-Week5-Web&Misc-WP
前端·python·学习·mysql·web安全·php·web
知孤云出岫21 小时前
网络安全渗透实际案例
安全·web安全
文人sec1 天前
泷羽sec学习打卡-shodan扫描4
网络·学习·安全·web安全
Wh1teR0se1 天前
ctfshow(162)--文件上传漏洞--远程文件包含
web安全·网络安全