漏洞发现时间:
2017-10-17
漏洞编号:
CVE-2017-12629
危险等级:
中危
受影响软件:
Apache Group Solr < 7.1
Apache Lucene 0
漏洞描述:
Apache Solr是一套基于Lucene的搜索服务器。
远程代码执行发生在Apache Solr 7.1之前,攻击者能够通过利用XXE结合使用Config API add-listener命令来访问RunExecutableListener类,导致敏感信息泄露和远程代码执行。
来源参考:
http://www.securityfocus.com/bid/101261
专家建议:
应用补丁,请向供应商咨询详情。
厂商补丁:
https://twitter.com/searchtools_avi/status/918904813613543424
https://twitter.com/joshbressers/status/919258716297420802
https://twitter.com/ApacheSolr/status/918731485611401216
http://openwall.com/lists/oss-security/2017/10/13/1