3月18日，金山云安全应急响应中心监测到Apache Solr存在SSRF与任意文件读取漏洞。

该漏洞暂无安全补丁，建议Apache Solr用户及时采取安全措施，避免遭受恶意攻击。

漏洞描述

Apache Solr是一个开源的搜索服务，使用Java语言开发。Apache Solr的某些功能存在过滤不严格，在Apache Solr未开启认证的情况下，攻击者可直接构造特定请求开启特定配置，并最终造成SSRF或文件读取漏洞。

影响版本

Apache Solr所有版本

修复建议

该漏洞暂无安全补丁，可采取如下安全措施：

1. 增加身份验证/授权（可参考官方文档），设置防火墙，限制访问来源，仅允许可信的计算机和人员访问。

https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html

2. 将组建安装到内网。

参考链接：

[1] https://issues.apache.org/jira/browse/SOLR

北京金山云网络技术有限公司

2021年3月18日