【高危】Apache Solr 环境变量信息泄漏漏洞

这篇具有很好参考价值的文章主要介绍了【高危】Apache Solr 环境变量信息泄漏漏洞。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

 漏洞描述

Apache Solr 是一款开源的搜索引擎。

在 Apache Solr 受影响版本中,由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有 metrics-read 权限的情况下,攻击者可以通过向 /solr/admin/metrics 端点发送恶意请求,从而获取到运行 Solr 实例的主机上的所有系统环境变量,包括敏感信息的配置、密钥等。

漏洞名称 Apache Solr 环境变量信息泄漏漏洞
漏洞类型 未授权敏感信息泄露
发现时间 2024/1/13
漏洞影响广度 广
MPS编号 MPS-xjy6-0kiu
CVE编号  CVE-2023-50290
CNVD编号 -

影响范围

org.apache.solr:solr-core@[9.0.0, 9.3.0)

solr@[9.0.0, 9.3.0)

修复方案

将 org.apache.solr:solr-core 升级至 9.3.0 及以上版本

将组件 solr 升级至 9.3.0 及以上版本

参考链接

OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

oss-security - CVE-2023-50290: Apache Solr: Host environment variables are published via the Metrics API

[SOLR-16808] Solr publishes environment variables via the Metrics API - ASF JIRA

https://issues.apache.org/jira/secure/attachment/13058326/SOLR-16808.patch

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自于百度、华为、乌云等企业,旗下的 MurphySec 软件供应链安全平台提供资产识别管理、风险检测、安全控制、一键修复等能力。

免费漏洞情报订阅

平台会通过实时监控多方渠道并进行人工分析,一手情报订阅地址:OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

免费代码安全检测工具

丰富的漏洞库及强大的检测能力,杜绝漏洞带来的风险隐患,工具地址: 墨菲安全 | 为您提供专业的软件供应链安全管理

开源项目

核心检测能力已开源,欢迎各位同学 Star⭐️

https://github.com/murphysecurity/murphysec/?sf=qbyj 文章来源地址https://www.toymoban.com/news/detail-800051.html

到了这里,关于【高危】Apache Solr 环境变量信息泄漏漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 框架漏洞-CVE复现-Apache Shiro+Apache Solr

    什么是框架?        就是别人写好包装起来的一套工具,把你原先必须要写的,必须要做的一些复杂的东西都写好了放在那里,你只要调用他的方法,就可以实现一些本来要费好大劲的功能。          如果网站的功能是采用框架开发的,那么挖掘功能的漏洞就相当于

    2024年02月16日
    浏览(38)
  • 【高危】Apache Spark UI shell 命令注入漏洞(POC)

    该漏洞是针对此前CVE-2022-33891漏洞的修订,原有漏洞通告中认为3.1.3版本已修复该漏洞,后发现仍受到影响,3.1.3版本已不再维护,官方建议升级至3.4.0版本。 Apache Spark是美国阿帕奇(Apache)软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎。 当Apache Spar

    2024年02月05日
    浏览(42)
  • CVE-2021-27905 Apache Solr SSRF漏洞

    预备知识 1. 漏洞信息 漏洞编号:CVE-2021-27905   漏洞名称:Apache Solr SSRF漏洞  漏洞描述:Apache Solr是一个开源的搜索服务,使用Java编写、运行在Servlet容器的一个独立的全文搜索服务器,是Apache Lucene项目的开源企业搜索平台。该漏洞是由于Solr默认安装未开启身份验证,攻击者

    2023年04月13日
    浏览(36)
  • 实战敏感信息泄露高危漏洞挖掘利用

    信息泄露就是某网站某公司对敏感数据没有安全的保护,导致泄露敏感被攻击者利用,例如泄露:账号,密码,管理员,身份证,数据库,服务器,敏感路径等等 如果进了业务系统可以SQL注入,文件上传,getshell获取服务器权限高危操作 例如: 可以根据账号,猜测默认密码

    2023年04月08日
    浏览(46)
  • 【高危】Apache Airflow Spark Provider 任意文件读取漏洞 (CVE-2023-40272)

    Apache Airflow Spark Provider是Apache Airflow项目的一个插件,用于在Airflow中管理和调度Apache Spark作业。 受影响版本中,在JDBC连接时,由于没有对conn_prefix参数做验证,允许输入\\\"?\\\"来指定参数。攻击者可以通过构造参数?allowLoadLocalInfile=true连接攻击者控制的恶意mysql服务器,读取Airfl

    2024年02月11日
    浏览(41)
  • 03Apache Solr 远程命令执行漏洞(CVE-2019-0193)

    0x01 漏洞介绍 Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。 此次漏洞出现在 Apache Solr 的 DataImportHandler ,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据。它具有一个功能,其中所有的 DIH配置都可以通过外

    2024年02月09日
    浏览(43)
  • 【高危】Apache Airflow Spark Provider 反序列化漏洞 (CVE-2023-40195)

    zhi.oscs1024.com​​​​​ 漏洞类型 反序列化 发现时间 2023-08-29 漏洞等级 高危 MPS编号 MPS-qkdx-17bc CVE编号 CVE-2023-40195 漏洞影响广度 广 OSCS 描述 Apache Airflow Spark Provider是Apache Airflow项目的一个插件,用于在Airflow中管理和调度Apache Spark作业。 受影响版本中,由于没有对conn_prefix参

    2024年02月10日
    浏览(39)
  • 【高危】Apache Linkis JDBC EngineConn 插件<1.3.2 存在反序列化漏洞

    Apache Linkis 是一个用于将上层应用与底层数据引擎解耦,提供标准化接口的中间件。 该项目受影响版本存在反序列化漏洞,由于ConnectionManager.java中未对dbUrl、username、password等参数进行充分过滤,当恶意用户完全控制应用程序连接的 MySQL 服务并设置 jdbc url 中的 autoDeserialize 参

    2023年04月20日
    浏览(39)
  • 【高危安全通告】微软8月多个漏洞修复

    安全狗应急响应中心监测到,微软发布了2022年8月的例行安全更新公告,共涉及漏洞数121个,严重级别漏洞17个。本次发布涉及组件有Microsoft Office Outlook、Microsoft Office Excel、Active Directory Domain Services、Windows Kerberos、Windows Storage Spaces Direct、Windows Print Spooler Components、Windows Netw

    2024年02月05日
    浏览(44)
  • 【高危安全通告】Oracle 10月月度安全漏洞预警

    近日,安全狗应急响应中心关注到Oracle官方发布安全公告,共披露出在Oracle Weblogic中存在的6个高危漏洞。 漏洞描述 CVE-2023-22069:Oracle Weblogic 远程代码执行漏洞 Oracle WebLogic Server存在远程代码执行漏洞,该漏洞的CVSSv3评分为9.8分。成功利用该漏洞可导致WebLogic Server被攻击者接

    2024年02月06日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包