Apache Solr Windows 下路径遍历漏洞-低调大师

Apache Solr Windows 下路径遍历漏洞

2025-01-27 205

漏洞描述

Apache Solr 是基于 Apache Lucene 构建的开源搜索平台。

受影响版本的 Apache Solr 的 configset upload api 未对输入数据做校验，攻击者可以构造恶意的 zip 文件来写入任意路径，导致在 Windows 中存在任意文件写入漏洞。

修复版本通过在 org.apache.solr.util.FileUtils 新增 isPathAChildOfParent 方法来对 configset upload api 的数据进行限制来修复该漏洞。

漏洞名称	Apache Solr Windows下路径遍历漏洞
漏洞类型	路径遍历
发现时间	2025-01-26
漏洞影响广度	-
MPS编号	MPS-z4e6-wqcf
CVE编号	CVE-2024-52012
CNVD编号	-

影响范围

solr@[6.6, 9.8.0)

org.apache.solr:solr-core@[6.6, 9.8.0)

修复方案

将组件 solr 升级至 9.8.0 及以上版本

开启 solr 的身份验证

参考链接

https://www.oscs1024.com/hd/MPS-z4e6-wqcf

Commit

https://nvd.nist.gov/vuln/detail/CVE-2024-52012

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/331660

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Apache Linkis 元数据查询服务文件读取漏洞

漏洞描述 Apache Linkis 是面向大数据和人工智能应用的开源治理平台。受影响版本的 Apache Linkis 的数据源管理模块未对传入的 JDBC URL 中的参数做限制。具备数据源管理权限的攻击者可以在 JDBC URL 写入 allowloadlocalinfile、allowurlinlocalinfile、allowloadlocalinfileinpath、autodeserialize参数来读取文件。修复版本通过在 linkis-commons/linkis-common/src/main/java/org/apache/linkis/common/utils/SecurityUtils 类中添加 checkUrlIsSafe 来对恶意参数做拦截来修复该漏洞。漏洞名称 Apache Linkis 元数据查询服务文件读取漏洞漏洞类型路径遍历发现时间 2025-01-14 漏洞影响广度 - MPS编号 MPS-vqou-7e68 CVE编号 CVE-2024-45627 CNVD编号 - 影响范围 org.apache.linkis:linkis-dat...

2025-01-15

300

《华尔街日报》报道称，开发人工智能聊天机器人 Claude 的 Anthropic 即将完成一轮 35 亿美元的融资，估值达到 615 亿美元。最初，Anthropic 仅计划融资 20 亿美元，但投资者现在同意增加融资额。据称，Lightspeed Venture Partners、General Catalyst、Bessemer Venture Partners 和总部位于阿布扎比的投资公司 MGX 正在洽谈参与下一轮融资。如果融资额达到 35 亿美元，Anthropic 的总融资额将达到 180 亿美元左右。该公司打算将下一轮融资所得用于开发更强大的 AI 技术。与此同时，Anthropic 本周刚发布了一款新的旗舰 AI 模型 Claude 3.7 Sonnet。该公司近期年收入达到约 12 亿美元，但仍处于亏损状态。

2025-02-25

233

资源下载

更多资源

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。