漏洞背景

近日，嘉诚安全监测到Apache Solr中修复了一个敏感信息泄露漏洞，漏洞编号为：CVE-2023-50290。

Apache Solr是一个开源搜索平台，使用Java语言开发，主要基于HTTP和Apache Lucene实现。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏为高危漏洞。在Apache Solr受影响版本中，由于Solr Metrics API默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有metrics-read权限的情况下，攻击者可以通过向/solr/admin/metrics端点发送恶意请求，从而获取到运行Solr实例的主机上的所有系统环境变量，包括敏感信息的配置、密钥等。

危害影响

影响版本

9.0.0 <= Apache Solr < 9.3.0

修复建议

根据影响版本中的信息，建议相关用户尽快更新至安全版本：

Apache Solr >= 9.3.0

下载链接请参考：

https://solr.apache.org/downloads.html