Apache Solr 身份验证绕过漏洞预警（CVE-2024-45216）

2024-10-30

一、概要

近日，华为云关注到Apache Solr官方发布安全公告，披露在特定的Apache Solr版本中PKIAuthenticationPlugin（该插件在使用Solr身份验证时默认启用）存在身份验证绕过漏洞（CVE-2024-45216），未授权的攻击者可通过在Solr API URL结尾添加虚假路径绕过Solr的身份验证，成功利用可获取敏感数据或执行其他恶意操作。目前POC已公开，风险较高。

Apache Solr是一个可扩展的，可部署，搜索，存储，优化搜索，以大量文本为中心的数据库优化的全文搜索平台。华为云提醒使用Apache Solr的用户及时安排自检并做好安全加固。

参考链接：

https://github.com/apache/solr/commit/bd61680bfd351f608867739db75c3d70c1900e38

https://solr.apache.org/security.html#cve-2024-45216-apache-solr-authentication-bypass-possible-using-a-fake-url-path-ending

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

5.3.0 <= Apache solr < 8.11.4

9.0.0 <= Apache solr < 9.7.0

安全版本：

Apache Solr 8.11.4

Apache Solr 9.7.0

四、漏洞处置

目前官方已在高版本中修复了该漏洞，请受影响的用户升级至安全版本：

https://solr.apache.org/downloads.html

注：修复漏洞前请将资料备份，并进行充分测试。