鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-13957 | Apache Solr ConfigSet API文件上传误差通告

宣布时间 2020-10-13

0x00 误差概述

CVE ID

CVE-2020-13957

时间

2020-10-13

类型

文件上传

等级

高危

远程使用

是

影响规模

Apache solr

6.6.0至6.6.5

7.0.0至7.7.3

8.0.0至8.6.2

Apache Solr是由Java语言开发、运行于Apache Tomcat或Jetty等Servlet容器的一个自力的全文搜索效劳器。。。。。。它主要基于HTTP和Apache Lucene实现。。。。。。主要功效包括全文检索、掷中标示、分面搜索、动态聚类、数据库集成，，，，，以及富文本的处置惩罚。。。。。。

0x01 误差详情

2020年10月12日，，，，，Apache Solr宣布清静通告，，，，，ConfigSet API保存文件上传误差，，，，，误差追踪为CVE-2020-13957。。。。。。攻击者可以连系使用UPLOAD/CREATE操作来绕过检查，，，，，以获取效劳器权限。。。。。。乐成使用此误差可导致远程代码执行。。。。。。

0x02 处置惩罚建议

1. 若是未使用ConfigSets API，，，，，则将系统属性configset.upload.enabled设置为false以禁用UPLOAD下令。。。。。。

参考链接：

https://lucene.apache.org/solr/guide/8_6/configsets-api.html

2. 使用身份验证/授权，，，，，并确保请求正当。。。。。。

参考链接：

https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html

3. 将Solr升级到 8.6.3或更高版本。。。。。。若是无法升级，，，，，则应用SOLR-14663通告中的补�。。。。。。�

参考链接：

https://issues.apache.org/jira/browse/SOLR-14663

4. 不将Solr API（包括Admin UI）向不受信任的第三方果真。。。。。。调解防火墙战略，，，，，确保只有受信任的盘算机和用户才华会见。。。。。。

0x03 参考链接

https://www.mail-archive.com/announce@apache.org/msg06149.html

https://issues.apache.org/jira/browse/SOLR-14925

0x04 时间线

2020-10-12 Apache宣布清静通告

2020-10-13 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】