PT-2024-31485 · Apache · Apache Solr
Liu Huajin
·
Publicado
2024-10-15
·
Atualizado
2025-07-01
·
CVE-2024-45217
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Solr de 6.6.0 a 8.11.3
Versões do Apache Solr de 9.0.0 a 9.6.x
Descrição
O problema decorre da inicialização padrão insegura de recursos no Apache Solr, em que novos ConfigSets criados por meio de um comando Restore não possuem os metadados “confiáveis”, levando a uma confiança implícita. Isso permite que ConfigSets “confiáveis” carreguem código personalizado em carregadores de classes sem terem sido criados com uma solicitação autenticada. O sinalizador “confiável” deve ser definido apenas quando a solicitação que carrega o ConfigSet for autenticada e autorizada.
Recomendações
Para as versões 6.6.0 a 8.11.3 do Apache Solr, atualize para a versão 8.11.4 para mitigar o problema.
Para as versões 9.0.0 a 9.6.x do Apache Solr, atualize para a versão 9.7.0 para mitigar o problema.
Como recomendação geral, aconselhamos os usuários a utilizarem autenticação e autorização ao executar o Solr para evitar tais problemas.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Solr