漏洞标题
Apache Solr存在认证绕过漏洞
漏洞描述信息
Apache Solr 中存在身份验证不当漏洞。
当使用 Solr 身份验证时,默认启用的 PKIAuthenticationPlugin 插件存在绕过身份验证的风险。在任何 Solr API URL 路径末尾添加一个假的结尾,可以使请求在不进行身份验证的情况下仍然维持与原始 URL 路径的 API 合同。这个假的结尾看起来像是一个未受保护的 API 路径,但实际上在身份验证之后但在 API 路由之前会被内部剥离。
此问题影响 Apache Solr 版本:从 5.3.0 到 8.11.4 之间的版本,从 9.0.0 到 9.7.0 之间的版本。
建议用户升级到 9.7.0 版本或 8.11.4 版本,以修复该问题。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
认证机制不恰当
漏洞标题
Apache Solr: Authentication bypass possible using a fake URL Path ending
漏洞描述信息
Improper Authentication vulnerability in Apache Solr.
Solr instances using the PKIAuthenticationPlugin, which is enabled by default when Solr Authentication is used, are vulnerable to Authentication bypass.
A fake ending at the end of any Solr API URL path, will allow requests to skip Authentication while maintaining the API contract with the original URL Path.
This fake ending looks like an unprotected API path, however it is stripped off internally after authentication but before API routing.
This issue affects Apache Solr: from 5.3.0 before 8.11.4, from 9.0.0 before 9.7.0.
Users are recommended to upgrade to version 9.7.0, or 8.11.4, which fix the issue.
CVSS信息
N/A
漏洞类别
认证机制不恰当
漏洞标题
Apache Solr 安全漏洞
漏洞描述信息
Apache Solr是美国阿帕奇(Apache)基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 5.3.0至8.11.4之前版本和9.0.0至9.7.0之前版本存在安全漏洞,该漏洞源于存在身份验证不当漏洞,从而可使用虚假URL路径结尾绕过身份验证。
CVSS信息
N/A
漏洞类别
其他