【漏洞详情】

近日，平安云关注到Apache Solr官方发布安全公告，Apache Solr Configset Api上传功能存在未授权漏洞(CVE-2020-13957)。在特定条件下，攻击者可通过构造特定请求，上传相关恶意文件，从而直接获取到服务器权限，漏洞风险高。

【漏洞评级】

高危

【 影响范围】

Apache Solr 6.6.0 - 6.6.5

Apache Solr 7.0.0 - 7.7.3

Apache Solr 8.0.0 - 8.6.2

【修复建议】

目前官方已发布安全更新，建议受影响的用户结合实际业务评估漏洞风险，可参考如下任一方案，避免安全风险。

方案一，升级安全版本，下载并升级至安全版本8.6.3

方案二，升级安全补丁，下载并升级SOLR-14663安全补丁，参考链接：https://issues.apache.org/jira/browse/SOLR-14663

方案三，禁用UPLOAD，如果业务未使用ConfigSets API，配置系统属性configset.upload.enabled 为 false ，参考官方文档：https://lucene.apache.org/solr/guide/8_6/configsets-api.html

【参考链接】

https://www.mail-archive.com/announce@apache.org/msg06149.html

特别提醒：清除恶意文件前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2020年10月14日