PT-2021-18556 · Apache · Apache Solr
Geza Nagy
·
Publicado
2021-04-13
·
Atualizado
2024-03-06
·
CVE-2021-29943
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Solr anteriores à 8.8.2
Descrição
O problema ocorre ao usar o ConfigurableInternodeAuthHadoopPlugin para autenticação. Nesse cenário, as solicitações distribuídas são encaminhadas ou redirecionadas por meio de um proxy utilizando as credenciais do servidor, em vez das credenciais originais do cliente. Isso resulta em uma resolução incorreta da autorização nos hosts receptores.
Recomendações
Para versões anteriores à 8.8.2, atualize para a versão 8.8.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar o uso do ConfigurableInternodeAuthHadoopPlugin para autenticação até que um patch esteja disponível. Restrinja o acesso a solicitações distribuídas para minimizar o risco de exploração.
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Solr