检测

Apache Solr 6.6.x < 9.8.0 相对路径遍历

medium Nessus 插件 ID 266069

语言:

简介

远程 wen 服务器包含受相对路径遍历漏洞影响的 Java 应用程序。

描述

Apache Solr 中的相对路径遍历漏洞。Windows 上运行的 Solr 实例容易受到任意文件路径写入访问影响原因是“configset upload”API 中缺少 input-sanitation。通常称为“zipslip”恶意构建的 ZIP 文件可使用相关文件路径将数据写入文件系统的非预期部分。
此问题会影响 Apache Solr从 6.6 到 9.7.0。建议用户升级到修复了此问题的版本 9.8.0。无法升级 的用户也可通过使用 Solr 的“基于规则的身份验证插件”限制对 configset 上传 API 的访问使其仅可由一组受信任的管理员/用户访问从而安全地防止 问题。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级版本到 Apache Solr 9.8.0 或更高版本。

另见

https://lists.apache.org/thread/yp39pgbv4vf1746pf5yblz84lv30vfxd

插件详情

严重性: Medium

ID: 266069

文件名: apache_solr_cve-2024-52012.nasl

版本: 1.1

类型: remote

系列: CGI abuses

发布时间: 2025/9/29

最近更新时间: 2025/9/29

支持的传感器: Nessus

风险信息

VPR

风险因素: Low

分数: 3.3

CVSS v2

风险因素: Medium

基本分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N

CVSS 分数来源: CVE-2024-52012

CVSS v3

风险因素: Medium

基本分数: 5.4

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

漏洞信息

CPE: cpe:/a:apache:solr

必需的 KB 项: installed_sw/Apache Solr

补丁发布日期: 2025/1/26

漏洞发布日期: 2025/1/26

参考资料信息

CVE: CVE-2024-52012