关于Apache Solr未授权文件上传漏洞的预警提示

一、漏洞详情

Apache Solr是一个开源的搜索服务,使用Java编写、运行在Servlet容器的一个独立的全文搜索服务器，是Apache Lucene项目的开源企业搜索平台。

该漏洞存在于Apache Solr使用Configsets API功能，攻击者在未经身份验证或授权的情况下，可以利用ConfigSet API中UPLOAD或CREATE进行任意文件上传，对目标机器执行任意代码攻击，从而获取服务器权限。

二、影响范围

Apache Solr  6.6.0 - 6.6.5

Apache Solr  7.0.0 - 7.7.3

Apache Solr  8.0.0 - 8.6.2

三、修复建议

目前，Apache官方已发布Solr 8.6.3版本，下载地址：

https://issues.apache.org/jira/browse/SOLR-14663