0x00简介
Solr 是一个开源的企业级搜索服务器,底层使用易于扩展和修改的Java 来实现。服务器通信使用标准的HTTP 和XML,所以如果使用Solr 了解Java 技术会有用却不是必须的要求。
Solr 主要特性有:强大的全文检索功能,高亮显示检索结果,动态集群,数据库接口和电子文档(Word ,PDF 等)的处理。而且Solr 具有高度的可扩展,支持分布搜索和索引的复制。
0x01漏洞概述
Apache Solr 发布公告,旧版本的 ConfigSet API 中存在未授权上传漏洞风险,被利用可能导致 RCE(远程代码执行)。
0x02影响版本
Apache Solr 6.6.0 -6.6.5
Apache Solr 7.0.0 -7.7.3
Apache Solr 8.0.0 -8.6.2
0x03环境搭建
1.本次测试环境为solr7.0.1下载地址如下:
https://archive.apache.org/dist/lucene/solr/7.0.1/
- 进入solr-7.7.0/bin目录下,使用 ./solr start -e cloud -force启动一个c