Apache Solr URL 路径身份验证绕过漏洞
漏洞描述
Apache Solr 是基于 Apache Lucene 构建的开源搜索平台。
受影响版本中由于 PKIAuthenticationPlugin 类未正确过滤用户的请求路径,当Solr启用PKIAuthenticationPlugin插件用于身份验证时(需手动配置),未授权的攻击者可在请求的 API URL 路径后添加恶意构造的结尾(:)绕过身份验证,窃取或修改应用敏感信息。
补丁版本通过删除 PKIAuthenticationPlugin 类中的缺陷代码修复此漏洞。
| 漏洞名称 | Apache Solr URL 路径身份验证绕过漏洞 |
|---|---|
| 漏洞类型 | 身份验证不当 |
| 发现时间 | 2024-10-16 |
| 漏洞影响广度 | - |
| MPS编号 | MPS-adl6-jmq0 |
| CVE编号 | CVE-2024-45216 |
| CNVD编号 | - |
影响范围
org.apache.solr:solr-core@[5.3.0, 8.11.4)
org.apache.solr:solr-core@[9.0.0, 9.7.0)
solr@[5.3.0, 8.11.4)
solr@[9.0.0, 9.7.0)
修复方案
将组件 org.apache.solr:solr-core 升级至 8.11.4 及以上版本
将组件 org.apache.solr:solr-core 升级至 9.7.0 及以上版本
将组件 solr 升级至 8.11.4 及以上版本
将组件 solr 升级至 9.7.0 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-adl6-jmq0
https://issues.apache.org/jira/browse/SOLR-17417
https://github.com/apache/solr/commit/bd61680bfd351f608867739db75c3d70c1900e38
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Apache CloudStack请求来源验证绕过漏洞
漏洞描述 Apache CloudStack 是一个开源的云计算管理平台,允许用户创建、管理和部署大规模虚拟化基础设施。 在受影响的版本中,系统未能有效验证请求的来源,导致攻击者能够诱导已认证用户提交恶意的CSRF请求。这种攻击方式可能导致用户账户被接管、服务中断、敏感数据泄露等安全隐患。 修复版本中,通过新增cookiePathRewrite参数确保cookie在正确的路径下可用,以修复漏洞。 漏洞名称 Apache CloudStack请求来源验证绕过漏洞 漏洞类型 CSRF 发现时间 2024-10-16 漏洞影响广度 - MPS编号 MPS-0vjz-53or CVE编号 CVE-2024-45693 CNVD编号 - 影响范围 cloudstack@[4.15.1.0, 4.18.2.4) cloudstack@[4.19.0.0, 4.19.1.2) 修复方案 将组件 cloudstack 升级至 4.18.2.4 及以上版本 将组件 cloudstack 升级至 4.19.1.2 及以上版本 参考链接 https://www.oscs1024.com/hd/MPS-0vj...
- 下一篇
Chrome 自动禁用广告屏蔽扩展 uBlock Origin
谷歌 Chrome 开始逐步淘汰知名的广告屏蔽扩展 uBlock Origin。 uBlock Origin 开发者 Raymond Hill 近日在社交媒体转发一张截图,显示 Chrome 以“不再受支持”的理由自动禁用了 uBlock Origin。 viahttps://x.com/gorhill/status/1846185858744869245 uBlock Origin 是基于 Manifest V2 的扩展,Google 正在淘汰 Manifest V2 强推限制更多的 Manifest V3,Raymond Hill 已经开发了基于 V3 的精简版本Ublock Origin lite(uBOL),因 V3 的限制 uBOL 在功能上弱于 uBlock Origin。 Raymond Hill 表示,当你使用 uBlock Origin Lite 与 uBlock Origin 进行比较时,根据你访问的网站和扩展程序的配置,你可能会注意到差异。这是因为 uBlock Origin Lite 的过滤能力比 uBlock Origin 更有限,Manifest V3 规范...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- CentOS6,CentOS7官方镜像安装Oracle11G
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2全家桶,快速入门学习开发网站教程
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS8编译安装MySQL8.0.19
微信收款码
支付宝收款码