【漏洞详情】

Apache Solr是一个开源的搜索服务，使用Java语言开发。近日，平安云安全中心监测到Apache Solr存在任意文件读取漏洞，在未开启认证的情况下，攻击者可利用Config API远程开启特定配置，并读取任意系统文件。

【风险评级】

高危

【影响范围】

l  Apache Solr 所有版本

【修复建议】

建议受影响的用户结合实际业务评估漏洞风险影响，参考如下加固方案，以避免安全风险。

1、增加身份验证/授权，可参考官方文档：https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html;

2、禁止Solr API 以及管理 UI 直接对公网开放。

【参考链接】

https://issues.apache.org/jira/browse/SOLR

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2021年3月18日