Apache Solr 漏洞列表

Remote code execution occurs in Apache Solr before 7.1 with Apache Lucene before 7.1 by exploiting XXE in conjunction with use of a Config API add-listener command to reach the RunExecutableListener class. Elasticsearch, although it uses Lucene, is NOT vulnerable to this. Note that the XML external entity expansion vulnerability occurs in the XML Query Parser which is available, by default, for any query request with parameters deftype=xmlparser and can be exploited to upload malicious data to the /upload request handler or as Blind XXE using ftp wrapper in order to read arbitrary local files from the Solr server. Note also that the second vulnerability relates to remote code execution using the RunExecutableListener available on all affected versions of Solr.

2019 年 08 月 01 日，Apache Solr 官方发布预警，Apache Solr DataImport 功能 在开启 Debug 模式时，可以接收来自请求的”dataConfig”参数，这个参数的功能与data-config.xml 一样，不过是在开启 Debug 模式时方便通过此参数进行调试，并且 Debug 模式的开启是通过参数传入的。在 dataConfig 参数中可以包含 script 恶意脚本导致远程代码执行. app="APACHE-Solr"

The ReplicationHandler (normally registered at "/replication" under a Solr core) in Apache Solr has a "masterUrl" (also "leaderUrl" alias) parameter that is used to designate another ReplicationHandler on another Solr core to replicate index data into the local core. To prevent a SSRF vulnerability, Solr ought to check these parameters against a similar configuration it uses for the "shards" parameter. Prior to this bug getting fixed, it did not. This problem affects essentially all Solr versions prior to it getting fixed in 8.8.2.

Apache Solr 身份认证绕过漏洞(CVE-2024-45216)，该漏洞存在于Apache Solr的PKIAuthenticationPlugin中，该插件在启用Solr身份验证时默认启用。攻击者可以利用在任何Solr API URL路径末尾添加假结尾的方式，绕过身份验证访问任意路由，从而获取敏感数据或进行其他恶意操作。 fofa: app="APACHE-Solr"

Apache Solr 身份认证绕过漏洞(CVE-2024-45216)，该漏洞存在于Apache Solr的PKIAuthenticationPlugin中，该插件在启用Solr身份验证时默认启用。攻击者可以利用在任何Solr API URL路径末尾添加假结尾的方式，绕过身份验证访问任意路由，从而获取敏感数据或进行其他恶意操作。 fofa: app="APACHE-Solr"

Fofa: app="APACHE-Solr"

Apache Solr 是一个基于 Apache Lucene 的开源搜索平台。该漏洞存在于 Apache Solr 7.1 及以下版本中，攻击者可以通过利用 XML 外部实体（XXE）注入漏洞，结合 Config API 的 add-listener 命令，达到远程代码执行的目的。攻击者还可以通过 XML Query Parser 上传恶意数据或利用 Blind XXE 读取 Solr 服务器上的任意本地文件。

Apache Solr with Apache Lucene before 7.1 is susceptible to remote code execution by exploiting XXE in conjunction with use of a Config API add-listener command to reach the RunExecutableListener class. Elasticsearch, although it uses Lucene, is NOT vulnerable to this. Note that the XML external entity expansion vulnerability occurs in the XML Query Parser which is available, by default, for any query request with parameters deftype=xmlparser and can be exploited to upload malicious data to the /upload request handler or as Blind XXE using ftp wrapper in order to read arbitrary local files from the Solr server. Note also that the second vulnerability relates to remote code execution using the RunExecutableListener available on all affected versions of Solr.

In Apache Solr versions 5.0.0 to 5.5.5 and 6.0.0 to 6.6.5, the Config API allows to configure the JMX server via an HTTP POST request. By pointing it to a malicious RMI server, an attacker could take advantage of Solr's unsafe deserialization to trigger remote code execution on the Solr side.

Apache Solr is vulnerable to remote code execution vulnerabilities via the DataImportHandler, an optional but popular module to pull in data from databases and other sources. The module has a feature in which the whole DIH configuration can come from a request's "dataConfig" parameter. The debug mode of the DIH admin screen uses this to allow convenient debugging / development of a DIH config. Since a DIH config can contain scripts, this parameter is a security risk.

Apache Solr versions 5.0.0 to 8.3.1 are vulnerable to remote code execution vulnerabilities through the VelocityResponseWriter. A Velocity template can be provided through Velocity templates in a configset `velocity/ directory or as a parameter. A user defined configset could contain renderable, potentially malicious, templates. Parameter provided templates are disabled by default, but can be enabled by setting `params.resource.loader.enabled by defining a response writer with that setting set to `true`. Defining a response writer requires configuration API access. Solr 8.4 removed the params resource loader entirely, and only enables the configset-provided template rendering when the configset is `trusted` (has been uploaded by an authenticated user).

Apache Solr versions 8.8.1 and prior contain a server-side request forgery vulnerability. The ReplicationHandler (normally registered at "/replication" under a Solr core) in Apache Solr has a "masterUrl" (also "leaderUrl" alias) parameter that is used to designate another ReplicationHandler on another Solr core to replicate index data into the local core. To prevent a SSRF vulnerability, Solr ought to check these parameters against a similar configuration it uses for the "shards" parameter.

Exposure of Sensitive Information to an Unauthorized Actor Vulnerability in Apache Solr. The Solr Metrics API publishes all unprotected environment variables available to each Apache Solr instance. Users can specify which environment variables to hide, however, the default list is designed to work for known secret Java system properties. Environment variables cannot be strictly defined in Solr, like Java system properties can be, and may be set for the entire host,unlike Java system properties which are set per-Java-proccess.

Solr instances using the PKIAuthenticationPlugin, which is enabled by default when Solr Authentication is used, are vulnerable to Authentication bypass.A fake ending at the end of any Solr API URL path, will allow requests to skip Authentication while maintaining the API contract with the original URL Path.This fake ending looks like an unprotected API path, however it is stripped off internally after authentication but before API routing.This issue affects Apache Solr- from 5.3.0 before 8.11.4, from 9.0.0 before 9.7.0.

Apache Solr是一个开源搜索服务器，使用Java语言开发，主要基于HTTP和Apache Lucene实现。2024年10月16日，启明星辰集团VSRC监测到Apache Solr发布安全公告，修复了Solr中的一个身份验证绕过漏洞（CVE-2024-45216），官方评级为“严重”，目前该漏洞的技术细节及PoC已公开。Apache Solr实例使用PKIAuthenticationPlugin（当Solr 以 SolrCloud 模式启动并配置为使用身份验证时该插件可能被启用）时存在身份验证绕过漏洞，攻击者可通过在Solr API路径末尾添加/admin/info/key的方式来绕过Solr的认证机制，从而可能访问敏感数据或执行未授权操作。

ApacheSolr是美国阿帕奇（Apache）基金会的一款基于Lucene（一款全文搜索引擎）的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。ApacheSolr5.3.0至8.11.4之前版本和9.0.0至9.7.0之前版本存在安全漏洞，该漏洞源于存在身份验证不当漏洞，从而可使用虚假URL路径结尾绕过身份验证。

Apache Solr是美国阿帕奇（Apache）基金会的一款基于Lucene（一款全文搜索引擎）的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 5.3.0至8.11.4之前版本和9.0.0至9.7.0之前版本存在安全漏洞，该漏洞源于存在身份验证不当漏洞，从而可使用虚假URL路径结尾绕过身份验证。

Apache Solr 初始化不当漏洞

Apache Solr 身份验证缺陷漏洞

Apachesolr在修改系统配置时，会重新对core进行加载。会远程文件进行拉取并加载到内存中，此时创建恶意同名类，添加恶意代码，在调取相应类时便执行了恶意代码，造成了远程代码执行的危害。此漏洞导致apachesolr服务完全沦陷，攻击者可以通过此系统为跳板进行内部网段攻击。Apache作为全文搜索服务器，存储了大量企业信息，企业使用apachesolr作为全文搜索，攻击者可以精心构造敏感关键词。利用apachesolr对企业数据进行大量的检索,收集敏感信息，如用户名密码、私钥、内部架构、内部通知、论坛消息等等。攻击者可以通过收集的信息进行下一步扩散攻击，此系统的的沦陷使企业数据安全受到严重危害。

Solr是Apache Lucene项目的开源企业搜索平台。其主要功能包括全文检索、命中标示、分面搜索、动态聚类、数据库集成，以及富文本的处理。 Solr是用Java编写、运行在Servlet容器（如Apache Tomcat或Jetty）的一个独立的全文搜索服务器。 Solr采用了Lucene Java搜索库为核心的全文索引和搜索，并具有类似REST的HTTP/XML和JSON的API。Solr的ReplicationHandler类对输入数据数据处理不当，存在任意文件读取漏洞，涉及漏洞编号为CVE-2017-3163。

Apache Solr ReplicationHandler存在目录遍历漏洞，此漏洞是由于replication接口对用户的请求验证不当导致的。

Apache Solr 中存在代码执行漏洞。该漏洞是由于DataImportHandler模块对用户输入的数据验证不足导致的。

Apache Solr是一个强大开源搜索平台，它提供了强大的全文搜索、分布式搜索和面向网络的搜索功能，适用于大规模数据的索引和检索。攻击者通过构造特殊URL地址， 读取系统敏感信息。

Solr是一个独立的企业级搜索应用服务器，它对外提供类似于Web-service的API接口。用户可以通过http请求，向搜索引擎服务器提交一定格式的XML文件，生成索引；也可以通过HttpGet操作提出查找请求，并得到XML格式的返回结果。在特定的Solr版本中存在XML注入，攻击者可以获取服务器权限。

Solr是一个独立的企业级搜索应用服务器，它对外提供类似于Web-service的API接口。用户可以通过http请求，向搜索引擎服务器提交一定格式的XML文件，生成索引；也可以通过HttpGet操作提出查找请求，并得到XML格式的返回结果。在特定的Solr版本中ConfigSet API存在未授权上传漏洞，攻击者利用漏洞可实现远程代码执行。

Apache Solr properties 敏感信息泄漏漏洞，攻击者可构造恶意请求利用 /admin/info/properties 泄漏相关敏感信息。

Apache Solr是美国阿帕奇（Apache）基金会的一款基于Lucene（一款全文搜索引擎）的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 6.0.0版本至8.11.2版本、9.0.0版本至9.4.1之前版本存在代码问题漏洞，该漏洞源于对动态管理代码资源的控制不当，无限制上传具有危险类型的文件。

2024年2月，Apache Solr 官方披露CVE-2023-50386 Apache Solr Backup/Restore APIs 代码执行漏洞。攻击者可构造恶意请求利用 Backup/Restore APIs 造成任意代码执行。官方已发布安全更新，建议升级至最新版本。

Apache Solr 是一款开源搜索引擎。自Apache Solr 9.0.0起，由于 Solr Metrics API默认输出所有未单独配置保护策略的环境变量，导致在未配置认证的情况下攻击者可构造恶意请求，从而获取到运行 Solr实例的主机上的所有系统环境变量，包括敏感信息的配置、密钥等

Apache Solr /select 远程命令执行漏洞

当Apache Solr配置为集群模式（cloud mode）启动时，攻击者可以利用Schema Designer功能上传恶意配置文件，最终通过加载恶意的 jar 包实现远程代码执行

Apache Solr是美国阿帕奇（Apache）基金会的一款基于Lucene（一款全文搜索引擎）的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。Apache Solr 5.0.0版本至8.3.1版本中存在注入漏洞。攻击者可借助Velocity模板利用该漏洞在系统上执行任意代码。

Apache Solr 的stream.url功能存在SSRF漏洞。攻击者可通过构建恶意请求来读取Solr服务器上的文件或发起内网请求,结合其他相关特性，可造成远程代码执行

Apache Solr中的ReplicationHandler（通常注册在Solrcore下的“/replication”）有一个“masterUrl”（也称为“leaderUrl”别名）参数，用于指定另一Solrcore上的另一个ReplicationHandler将索引数据复制到本地core中。为了防止SSRF漏洞，Solr应该对照其用于“shards”参数的类似配置检查这些参数。在修复此错误之前，它没有。在8.8中修复之前，此问题基本上影响所有8.8之前的Solr版本

Log4j是Apache的一个开源项目，该漏洞产生的原因在于Log4j在记录日志的过程中会对日志内容进行判断，如果内容中包含了${，则Log4j会认为此字符属于JNDI远程加载类的地址。apachesolr 使用了该项目进行记录日志，攻击者通过构造恶意的代码即可利用该漏洞，从而导致服务器权限丢失

Log4j是Apache的一个开源项目，该漏洞产生的原因在于Log4j在记录日志的过程中会对日志内容进行判断，如果内容中包含了${，则Log4j会认为此字符属于JNDI远程加载类的地址。apachesolr 使用了该项目进行记录日志，攻击者通过构造恶意的代码即可利用该漏洞，从而导致服务器权限丢失

Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发，主要基于 HTTP 和 Apache Lucene实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞：XML实体扩展漏洞（XXE）和远程命令执行漏洞（RCE），二者可以连接成利用链，编号均为CVE-2017-12629。

Apache Solr 的某些功能存在参数过滤不严格，在 Apache Solr 未开启认证的情况下，攻击者可直接构造特定请求造成 SSRF 漏洞。

攻击者可以利用该漏洞在服务器读取任意文件

ApacheSolr是一个独立的企业级搜索应用服务器，它对外提供类似于Web-service的API接口。用户可以通过http请求，向搜索引擎服务器提交一定格式的XML文件，生成索引；也可以通过HttpGet操作提出查找请求，并得到XML格式的返回结果。 由于Solr5.0.0 ~ 5.5.5、6.0.0 ~6.6.5版本存在反序列化攻击，由于ConfigAPI允许设置一个jmx.serviceUrl，它将创建一个新的JMXConnectorServerFactory并使用“bind”操作触发对目标RMI/LDAP服务器的调用。恶意的RMI服务器可能会响应任意对象，这些对象将使用Java的ObjectInputStream在Solr端反序列化。如果存在该漏洞，可选择其中一项即可阻止该漏洞，如：1.升级到ApacheSolr 7.0或更高版本；2.如果不使用，请通过使用系统属性disable.configEdit =true运行Solr禁用ConfigAPI;3.如果升级或禁用ConfigAPI都不可行，请应用SOLR-13301.patch并重新编译Solr。4.确保配置了网络设置，以便仅允许受信任的流量进/出运行Solr的主机。

【漏洞对象】Apache Solr 【涉及版本】Apache Solr before 7.1.0 【漏洞描述】该漏洞可用于任何参数为deftype =xmlparser的查询请求，并且可以利用该漏洞将恶意数据上传到/ upload请求处理程序，或者使用ftp作为BlindXXE包装器，以便从Solr服务器读取任意本地文件

该漏洞来源于VelocityResponseWriter，由于用户自定义的 configset可能包含可呈现的、潜在恶意的模板，默认情况下，官方提供的参数模板是禁用的，然而攻击者可以通过定义一个将该配置设置为 "true" 的响应写入器来启用"parms.resource.loader. loader"，从而达到远程代码执行的目的。

【漏洞对象】Apache Solr 【涉及版本】Apache Solr 5.x - 8.2.0，存在config API版本 【漏洞描述】Solr中存在VelocityResponseWriter组件,攻击者可以构造特定请求修改相关配置,使VelocityResponseWriter组件允许加载指定模板,进而导致Velocity模版注入远程命令执行漏洞，攻击者利用该漏洞可以直接获取到服务器权限。

【漏洞对象】Apache solr 【漏洞描述】 Apachesolr的管理界面通常包含如下信息：solr的配置信息（包括路径，用户名，系统版本信息），数据库的配置信息（地址，用户名，密码），数据库搜索数据等。solr未授权访问的危害很大，可查询所有数据库信息，并读取系统任意文件，甚至getshell.

Apache Solr是美国阿帕奇（Apache）软件基金会的一款基于Lucene（一款全文搜索引擎）的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。