严重性：重要

受影响的版本：- 9.3.0 之前的 Apache Solr 9.0.0

描述：Apache Solr 中未经授权的参与者漏洞暴露敏感信息。

Solr Metrics API 发布每个 Apache Solr 实例可用的所有未受保护的环境变量。用户可以指定要隐藏哪些环境变量，但是，默认列表旨在适用于已知的秘密 Java 系统属性。环境变量不能像 Java 系统属性那样在 Solr 中严格定义，并且可以为整个主机设置，这与按 Java 进程设置的 Java 系统属性不同。

Solr Metrics API 受“metrics-read”权限的保护。

因此，具有授权设置的 Solr 云仅会受到具有“指标读取”权限的用户的攻击。

此问题影响 Apache Solr：从 9.0.0 到 9.3.0。

建议用户升级到9.3.0及以上版本，该版本不再通过Metrics API发布环境变量。

感谢您抽出

.

.

来阅读本文

点它，分享点赞在看都在这里