漏洞预警 | Apache Solr Velocity 模板远程代码执行漏洞

/ 默认分类 / 0 条评论 / 1493 浏览

本站的所有程序和文章,仅限用于学习和研究目的;不得用于商业或者非法用途,否则,一切后果请用户自负!!

说明

国外安全研究员 s00py 在 GitHub 公开了 Apache Solr Velocity 模版注入远程命令执行的 exp。该漏洞 exp 可以直接在最新版 8.2.0 导致远程代码执行,影响范围可能包含全版本。

预防措施

官方尚未发布相应的补丁,在此之前,可以限制不可信来源对 solr 的访问,或参考如下链接内容,增加相应的登陆验证: https://lucene.apache.org/solr/guide/8_1/basic-authentication-plugin.html#enable-basic-authentication

本文最后编辑时间为: 2019-10-31

如本文对你有帮助,点击下面广告支持一下吧,创作不易,感谢大佬。

safe6