国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

【高?!緼pache Solr 環(huán)境變量信息泄漏漏洞

2年前作者:墨菲安全分類:Toy博客閱讀(30)違法舉報

這篇具有很好參考價值的文章主要介紹了【高?!緼pache Solr 環(huán)境變量信息泄漏漏洞。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

?漏洞描述

Apache Solr 是一款開源的搜索引擎。

在 Apache Solr 受影響版本中,由于 Solr Metrics API 默認輸出所有未單獨配置保護策略的環(huán)境變量。在默認無認證或具有 metrics-read 權(quán)限的情況下,攻擊者可以通過向 /solr/admin/metrics 端點發(fā)送惡意請求,從而獲取到運行 Solr 實例的主機上的所有系統(tǒng)環(huán)境變量,包括敏感信息的配置、密鑰等。

漏洞名稱 Apache Solr 環(huán)境變量信息泄漏漏洞
漏洞類型 未授權(quán)敏感信息泄露
發(fā)現(xiàn)時間 2024/1/13
漏洞影響廣度
MPS編號 MPS-xjy6-0kiu
CVE編號 ?CVE-2023-50290
CNVD編號 -

影響范圍

org.apache.solr:solr-core@[9.0.0, 9.3.0)

solr@[9.0.0, 9.3.0)

修復方案

將 org.apache.solr:solr-core 升級至 9.3.0 及以上版本

將組件 solr 升級至 9.3.0 及以上版本

參考鏈接

OSCS | 開源軟件供應鏈安全社區(qū) | 讓每一個開源項目變得更安全

oss-security - CVE-2023-50290: Apache Solr: Host environment variables are published via the Metrics API

[SOLR-16808] Solr publishes environment variables via the Metrics API - ASF JIRA

https://issues.apache.org/jira/secure/attachment/13058326/SOLR-16808.patch

關于墨菲安全

墨菲安全是一家為您提供專業(yè)的軟件供應鏈安全管理的科技公司,核心團隊來自于百度、華為、烏云等企業(yè),旗下的 MurphySec 軟件供應鏈安全平臺提供資產(chǎn)識別管理、風險檢測、安全控制、一鍵修復等能力。

免費漏洞情報訂閱

平臺會通過實時監(jiān)控多方渠道并進行人工分析,一手情報訂閱地址:OSCS | 開源軟件供應鏈安全社區(qū) | 讓每一個開源項目變得更安全

免費代碼安全檢測工具

豐富的漏洞庫及強大的檢測能力,杜絕漏洞帶來的風險隱患,工具地址:?墨菲安全 | 為您提供專業(yè)的軟件供應鏈安全管理

開源項目

核心檢測能力已開源,歡迎各位同學 Star??

https://github.com/murphysecurity/murphysec/?sf=qbyj?文章來源地址http://www.zghlxwxcb.cn/news/detail-800051.html

到了這里,關于【高?!緼pache Solr 環(huán)境變量信息泄漏漏洞的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權(quán),不承擔相關法律責任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經(jīng)查實,立即刪除!

領支付寶紅包贊助服務器費用

相關文章

  • 框架漏洞-CVE復現(xiàn)-Apache Shiro+Apache Solr

    框架漏洞-CVE復現(xiàn)-Apache Shiro+Apache Solr

    什么是框架? ?????? 就是別人寫好包裝起來的一套工具,把你原先必須要寫的,必須要做的一些復雜的東西都寫好了放在那里,你只要調(diào)用他的方法,就可以實現(xiàn)一些本來要費好大勁的功能。 ???????? 如果網(wǎng)站的功能是采用框架開發(fā)的,那么挖掘功能的漏洞就相當于

    2024年02月16日
    瀏覽(19)
  • 【高?!緼pache Spark UI shell 命令注入漏洞(POC)

    【高危】Apache Spark UI shell 命令注入漏洞(POC)

    該漏洞是針對此前CVE-2022-33891漏洞的修訂,原有漏洞通告中認為3.1.3版本已修復該漏洞,后發(fā)現(xiàn)仍受到影響,3.1.3版本已不再維護,官方建議升級至3.4.0版本。 Apache Spark是美國阿帕奇(Apache)軟件基金會的一款支持非循環(huán)數(shù)據(jù)流和內(nèi)存計算的大規(guī)模數(shù)據(jù)處理引擎。 當Apache Spar

    2024年02月05日
    瀏覽(23)
  • CVE-2021-27905 Apache Solr SSRF漏洞

    CVE-2021-27905 Apache Solr SSRF漏洞

    預備知識 1. 漏洞信息 漏洞編號:CVE-2021-27905?? 漏洞名稱:Apache Solr SSRF漏洞? 漏洞描述:Apache Solr是一個開源的搜索服務,使用Java編寫、運行在Servlet容器的一個獨立的全文搜索服務器,是Apache Lucene項目的開源企業(yè)搜索平臺。該漏洞是由于Solr默認安裝未開啟身份驗證,攻擊者

    2023年04月13日
    瀏覽(21)
  • 實戰(zhàn)敏感信息泄露高危漏洞挖掘利用

    實戰(zhàn)敏感信息泄露高危漏洞挖掘利用

    信息泄露就是某網(wǎng)站某公司對敏感數(shù)據(jù)沒有安全的保護,導致泄露敏感被攻擊者利用,例如泄露:賬號,密碼,管理員,身份證,數(shù)據(jù)庫,服務器,敏感路徑等等 如果進了業(yè)務系統(tǒng)可以SQL注入,文件上傳,getshell獲取服務器權(quán)限高危操作 例如: 可以根據(jù)賬號,猜測默認密碼

    2023年04月08日
    瀏覽(32)
  • 【高?!緼pache Airflow Spark Provider 任意文件讀取漏洞 (CVE-2023-40272)

    【高危】Apache Airflow Spark Provider 任意文件讀取漏洞 (CVE-2023-40272)

    Apache Airflow Spark Provider是Apache Airflow項目的一個插件,用于在Airflow中管理和調(diào)度Apache Spark作業(yè)。 受影響版本中,在JDBC連接時,由于沒有對conn_prefix參數(shù)做驗證,允許輸入\\\"?\\\"來指定參數(shù)。攻擊者可以通過構(gòu)造參數(shù)?allowLoadLocalInfile=true連接攻擊者控制的惡意mysql服務器,讀取Airfl

    2024年02月11日
    瀏覽(27)

  • 03Apache Solr 遠程命令執(zhí)行漏洞(CVE-2019-0193)

    0x01 漏洞介紹 Apache Solr 是一個開源的搜索服務器。Solr 使用 Java 語言開發(fā),主要基于 HTTP 和 Apache Lucene 實現(xiàn)。 此次漏洞出現(xiàn)在 Apache Solr 的 DataImportHandler ,該模塊是一個可選但常用的模塊,用于從數(shù)據(jù)庫和其他源中提取數(shù)據(jù)。它具有一個功能,其中所有的 DIH配置都可以通過外

    2024年02月09日
    瀏覽(18)
  • 【高?!緼pache Airflow Spark Provider 反序列化漏洞 (CVE-2023-40195)

    【高危】Apache Airflow Spark Provider 反序列化漏洞 (CVE-2023-40195)

    zhi.oscs1024.com????? 漏洞類型 反序列化 發(fā)現(xiàn)時間 2023-08-29 漏洞等級 高危 MPS編號 MPS-qkdx-17bc CVE編號 CVE-2023-40195 漏洞影響廣度 廣 OSCS 描述 Apache Airflow Spark Provider是Apache Airflow項目的一個插件,用于在Airflow中管理和調(diào)度Apache Spark作業(yè)。 受影響版本中,由于沒有對conn_prefix參

    2024年02月10日
    瀏覽(29)
  • 【高?!緼pache Linkis JDBC EngineConn 插件<1.3.2 存在反序列化漏洞

    【高?!緼pache Linkis JDBC EngineConn 插件<1.3.2 存在反序列化漏洞

    Apache Linkis 是一個用于將上層應用與底層數(shù)據(jù)引擎解耦,提供標準化接口的中間件。 該項目受影響版本存在反序列化漏洞,由于ConnectionManager.java中未對dbUrl、username、password等參數(shù)進行充分過濾,當惡意用戶完全控制應用程序連接的 MySQL 服務并設置 jdbc url 中的 autoDeserialize 參

    2023年04月20日
    瀏覽(18)
  • 【高危安全通告】微軟8月多個漏洞修復

    【高危安全通告】微軟8月多個漏洞修復

    安全狗應急響應中心監(jiān)測到,微軟發(fā)布了2022年8月的例行安全更新公告,共涉及漏洞數(shù)121個,嚴重級別漏洞17個。本次發(fā)布涉及組件有Microsoft Office Outlook、Microsoft Office Excel、Active Directory Domain Services、Windows Kerberos、Windows Storage Spaces Direct、Windows Print Spooler Components、Windows Netw

    2024年02月05日
    瀏覽(21)
  • 【高危安全通告】Oracle 10月月度安全漏洞預警

    【高危安全通告】Oracle 10月月度安全漏洞預警

    近日,安全狗應急響應中心關注到Oracle官方發(fā)布安全公告,共披露出在Oracle Weblogic中存在的6個高危漏洞。 漏洞描述 CVE-2023-22069:Oracle Weblogic 遠程代碼執(zhí)行漏洞 Oracle WebLogic Server存在遠程代碼執(zhí)行漏洞,該漏洞的CVSSv3評分為9.8分。成功利用該漏洞可導致WebLogic Server被攻擊者接

    2024年02月06日
    瀏覽(19)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領取紅包,優(yōu)惠每天領

二維碼1

領取紅包

二維碼2

領紅包