【漏洞复现】Apache Solr路径身份验证绕过漏洞CVE-2024-45216

科技   2024-10-30 22:23   北京  

漏洞描述:

ApacheSolr是基于ApacheLucene构建的开源搜索平台,PKIAuthenticationPlugin是SolrCloud模式下的身份验证插件,受影响版本中由于PKIAuthenticationPlugin类未正确过滤用户的请求路径,当Solr启用PKIAuthenticationPlugin插件用于身份验证时(SolrCloud模式下勾选身份验证则启用,未授权的攻击者可在请求的API URL路径后添加恶意构造绕过身份验证,窃取或修改应用敏感信息,补丁版本通过删除PKIAuthenticationPlugin类中的缺陷代码修复此漏洞。


漏洞复现:

影响范围:
5.3.0 <= Apache Solr < 8.11.4
9.0.0 <= Apache Solr < 9.7.0

修复建议:
官方已发布安全更新,建议升级至最新版本。

参考链接:
https://solr.apache.org/security.html#cve-2024-45216-apache-solr-authentication-bypass-possible-using-a-fake-url-path-ending

飓风网络安全
专注网络安全,成立于2014年;专注于研究安全服务,黑客技术、0day漏洞、红蓝对抗、威胁情报、应用安全、主机安全,提供服务器网站安全解决方案,数据库安全、服务器安全运维。
 最新文章