Michael Taggart

**Nome do software vulnerável e versões afetadas** Versões do Apache Solr de 6.0.0 a 8.11.2 Versões do Apache Solr de 9.0.0 a 9.2.x **Descrição** O problema está relacionado à proteção insuficiente de credenciais no Apache Solr. Um dos endpoints, “/admin/info/properties”, foi configurado apenas para ocultar propriedades do sistema que contivessem a palavra “password” em seu nome. No entanto, outras propriedades sensíveis do sistema, como “basicauth” e “aws.secretKey”, não contêm ‘password’ e, portanto, seus valores foram publicados por meio do endpoint “/admin/info/properties”. Esse endpoint é protegido pela permissão “config-read”, e os Solr Clouds com a autorização ativada só ficam vulneráveis por meio de usuários conectados com a permissão “config-read”. **Recomendações** Atualize para a versão 9.3.0 ou 8.11.3, que corrige o problema. Para usuários que não podem atualizar, use a propriedade de sistema Java ‘-Dsolr.redaction.system.pattern=.*(password|secret|basicauth).*’ para corrigir o problema.

**Nome do software vulnerável e versões afetadas** Azure CycleCloud (versões afetadas não especificadas) **Descrição** O problema está relacionado a um controle de acesso insuficiente no Azure CycleCloud, uma ferramenta para organizar e gerenciar ambientes de computação de alto desempenho (HPC). A exploração dessa vulnerabilidade pode permitir que um invasor eleve seus privilégios. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.