一、背景介绍

近日据Apache Solr的安全公告表明，Apache Solr存在代码执行漏洞，建议及时修复。

1.1 漏洞详情：

Apache Solr是一个开源搜索服务器，使用Java语言开发，主要基于HTTP和Apache Lucene实现。

1.CVE-2023-50292

当Apache Solr未开启身份认证且配置为集群模式启动时，可以利用Solr的Schema Designer功能，新建Schema上传恶意配置文件，最终导致任意代码执行。

2.CVE-2023-50386

SolrCloud模式下，Solr ConfigSets接受通过ConfigSets API上传的Java jar和class文件。备份Solr集合时，使用 LocalFileSystemRepository（备份的默认设置）时，这些configSet文件将保存到磁盘，当备份被保存到Solr ClassPath/ClassLoaders目录时，可能导致任意代码执行。

1.2 影响范围：

1.CVE-2023-50292

8.10.0 <= Apache Solr < 8.11.3

9.0.0 <= Apache Solr < 9.3.0

2.CVE-2023-50386

6.0.0<= Apache Solr < 8.11.3

9.0.0<= Apache Solr < 9.4.1

二、修复建议：

及时更新至安全版本。

参考链接：https://solr.apache.org/downloads.html