一、概要

近日，华为云关注到Apache Solr官方发布安全公告，披露在特定的Solr版本中ConfigSet API存在未授权上传漏洞（CVE-2020-13957），攻击者利用漏洞可实现远程代码执行。

华为云提醒使用Apache Solr的用户及时安排自检并做好安全加固。

参考链接：

https://www.mail-archive.com/announce@apache.org/msg06149.html

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache Solr 6.6.0 to 6.6.5

Apache Solr 7.0.0 to 7.7.3

Apache Solr 8.0.0 to 8.6.2

安全版本:

Apache Solr >= 8.6.3

四、漏洞处置

受影响的用户可参考以下任一项措施修复漏洞：

1、如果未使用ConfigSets API，则通过将系统属性设置为“ configset.upload.enabled”设置为“ false”来禁用UPLOAD命令。参考：https://lucene.apache.org/solr/guide/8_6/configsets-api.html

2、使用身份验证/授权来确保未知的请求不会被允许访问。参考：https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html

3、升级到8.6.3及以上的安全版本。

4、如果不能进行升级，请考虑在SOLR-14663公告中的应用补丁。参考：https://issues.apache.org/jira/browse/SOLR-14663

5、将Solr API（包括Admin UI）仅对可信的IP或用户开放。

注：修复漏洞前请将资料备份，并进行充分测试。