CVE-2024-52012

Nome do Software Vulnerável e Versões Afetadas Versões do Apache Solr 6.6 a 9.7.0

Descrição O problema afeta instâncias do Solr em execução no Windows, permitindo acesso de escrita arbitrário a caminhos de arquivo devido à falta de sanitização de entrada na API de "configset upload". Isso é comumente conhecido como "zipslip", onde arquivos ZIP criados maliciosamente podem usar caminhos de arquivo relativos para gravar dados em partes não previstas do sistema de arquivos.

Recomendações As versões do Apache Solr 6.6 a 9.7.0 devem ser atualizadas para a versão 9.8.0 para corrigir o problema. Alternativamente, usuários que não possam atualizar podem prevenir o problema com segurança utilizando o "Rule-Based Authentication Plugin" do Solr para restringir o acesso à API de "configset upload", permitindo que ela seja acessada apenas por um conjunto confiável de administradores/usuários.