- 1【STM32】STM32F103ZET6 创建工程模版详解(固件库)_stm32f103zet6的固件库
- 2计算机win10无法正常登录系统,win10系统无法使用微软账户登录系统的解决方法...
- 3myBatis-plus/myBatis 流式查询,解决大数据量查询慢而且内存溢出的异常_mybatis序列化反序列化慢
- 4在Docker中安装OnlyOffice过程记录_docker onlyoffice
- 5【uni-app】uniapp中微信小程序APP使用mqtt(vue同理)_uni-app mqtt
- 6CrossOver24免费升级以及CrossOver24下载,安装和激活(附激活码)_cross over24密码
- 7操作系统安全的基石:Linux安全审计与日志详解
- 8idapython
- 9旅游大数据分析预测系统+可视化 +贝叶斯预测模型 大数据毕业设计(附源码)✅
- 10mysql cursor使用_declare teach_cursor cuosor for select teacherno,
【高危】Apache Solr 环境变量信息泄漏漏洞
赞
踩
漏洞描述
Apache Solr 是一款开源的搜索引擎。
在 Apache Solr 受影响版本中,由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有 metrics-read 权限的情况下,攻击者可以通过向 /solr/admin/metrics 端点发送恶意请求,从而获取到运行 Solr 实例的主机上的所有系统环境变量,包括敏感信息的配置、密钥等。
| 漏洞名称 | Apache Solr 环境变量信息泄漏漏洞 |
|---|---|
| 漏洞类型 | 未授权敏感信息泄露 |
| 发现时间 | 2024/1/13 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-xjy6-0kiu |
| CVE编号 | CVE-2023-50290 |
| CNVD编号 | - |
影响范围
org.apache.solr:solr-core@[9.0.0, 9.3.0)
solr@[9.0.0, 9.3.0)
修复方案
将 org.apache.solr:solr-core 升级至 9.3.0 及以上版本
将组件 solr 升级至 9.3.0 及以上版本
参考链接
OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全
[SOLR-16808] Solr publishes environment variables via the Metrics API - ASF JIRA
https://issues.apache.org/jira/secure/attachment/13058326/SOLR-16808.patch
关于墨菲安全
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自于百度、华为、乌云等企业,旗下的 MurphySec 软件供应链安全平台提供资产识别管理、风险检测、安全控制、一键修复等能力。
免费漏洞情报订阅
平台会通过实时监控多方渠道并进行人工分析,一手情报订阅地址:OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全
免费代码安全检测工具
丰富的漏洞库及强大的检测能力,杜绝漏洞带来的风险隐患,工具地址: 墨菲安全 | 为您提供专业的软件供应链安全管理
开源项目
核心检测能力已开源,欢迎各位同学 Star⭐️
