Solr ConfigSet 远程代码执行漏洞
漏洞描述
Apache Solr是一个开源的搜索服务,使用Java语言开发,主要基于HTTP和Apache Lucene实现的。
在受影响的版本中,SolrCloud模式下 ConfigSets API接受Java jar和class文件上传。在备份Solr Collections时,使用LocalFileSystemRepository将配置文件保存到磁盘。当备份保存到Solr ClassLoader目录时,class文件可被ConfigSet引用加载,导致执行任意代码。
漏洞名称 | Solr ConfigSet远程代码执行漏洞 |
---|---|
漏洞类型 | 动态管理代码资源的控制不恰当 |
发现时间 | 2024-02-10 |
漏洞影响广度 | 小 |
MPS编号 | MPS-ovu7-lr9w |
CVE编号 | CVE-2023-50386 |
CNVD编号 | - |
影响范围
org.apache.solr:solr-core@[6.0.0, 8.11.3)
org.apache.solr:solr-core@[9.0.0, 9.4.1)
修复方案
将 org.apache.solr:solr-core 升级至 8.11.3 及以上版本
对solr API访问开启鉴权机制
将 org.apache.solr:solr-core 升级至 9.4.1 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-ovu7-lr9w
https://nvd.nist.gov/vuln/detail/CVE-2023-50386
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Apache bRPC 存在 http 请求走私风险
漏洞描述 Apache bRPC 是百度开源的工业级 RPC 框架,常用于搜索、存储、机器学习等高性能系统。 Apache bRPC 0.9.5至1.7.0版本中由于使用 http_parser 库不符合RFC-7230 HTTP 1.1 规范,当 bRPC 后端的 http 服务器通过持久话连接接收特定前端服务器的请求(需要前端服务器使用 TE 解析http请求),攻击者可发送包含恶意 Transfer-Encoding 和 Content-Length 标头的 http 请求进行请求走私,从而窃取用户凭据等敏感信息。 漏洞名称 Apache bRPC 存在http请求走私风险 漏洞类型 HTTP请求走私 发现时间 2024-02-08 漏洞影响广度 一般 MPS编号 MPS-2glc-5ao0 CVE编号 CVE-2024-23452 CNVD编号 - 影响范围 brpc@[0.9.5, 1.8.0) 修复方案 升级brpc到 1.8.0 或更高版本 参考链接 https://www.oscs1024.com/hd/MPS-2glc-5ao0 https://nvd.nist.go...
- 下一篇
Envoy PROXY 协议身份验证绕过漏洞
漏洞描述 Envoy 是一款高性能的服务代理。 在受影响版本中,由于PROXY协议实现未过滤非UTF-8字符,当 failure_mode_allow 设置为 true 时,下游客户端可以通过强制发送tlv中包含非UTF-8字符的无效gRPC请求,绕过ext_authz过滤器校验,导致外部认证机制被绕过。 漏洞名称 Envoy PROXY协议身份验证绕过漏洞 漏洞类型 输入验证不恰当 发现时间 2024-02-10 漏洞影响广度 小 MPS编号 MPS-x4yl-9mrt CVE编号 CVE-2024-23324 CNVD编号 - 影响范围 envoy@[1.29.0, 1.29.1) envoy@[1.28.0, 1.28.1) envoy@[1.26.0, 1.26.7) envoy@[1.27.0, 1.27.3) 修复方案 将 envoy 升级至 1.28.1 及以上版本 将 envoy 升级至 1.26.7 及以上版本 将 envoy 升级至 1.27.3 及以上版本 将 envoy 升级至 1.29.1 及以上版本 参考链接 https://www.oscs1024.com...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- Windows10,CentOS7,CentOS8安装Nodejs环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Docker使用Oracle官方镜像安装(12C,18C,19C)