2019年10月31日，北京网络与信息安全信息通报中心公布了Apache Solr Velocity 模版存在注入远程命令执行漏洞，该漏洞可以直接在Apache Solr最新的8.2.0版本导致远程代码执行，影响范围包含全版本。Apache Solr是一个高性能的，采用Java5开发的，基于Lucene的企业级全文搜索服务器，由于其软件的开源属性，目前较多企业在使用Solr服务。对此网络与信息安全信息通报中心特组织技术单位对该漏洞进行了技术分析，现将具体漏洞情况、影响范围及安全工作提示汇总如下：

一、漏洞基本情况

Apache Solr 默认集成 VelocityResponseWriter 插件，该插件初始化参数中的params.resource.loader.enabled 参数主要用来控制是否允许参数资源加载器在 Solr 请求参数中指定模版，该参数默认的设置是 false。而攻击者可以通过 POST 请求直接修改集合设置，将 params.resource.loader.enabled 参数设置为 true。随后通过设置请求中的参数来指定加载的资源。通过精心构造，发送相应的 GET 请求，导致远程代码执行漏洞。

二、影响范围

目前经过安全厂商统计，该漏洞可能影响Apache Solr 8.2.0以下所有版本。

三、安全提示

由于目前官方尚未发布相应的补丁，该漏洞目前处于0 Day状态，请大家做好以下两方面的防范工作：

一是尽量限制不可信来源对 Solr 的访问，或在Solr上增加相应的登陆验证。

二是关注官网，在官方针对该漏洞的补丁发布后第一时间更新。

2019-11-015期

素材来源：北京网络与信息安全信息通报中心

责任编辑： 爆冰熊

【2019-11-009期】

我们是北京市公安局网警巡查执法账号，如果您发现网上有害信息或违法犯罪线索，请通过平台私信向我们举报。浩瀚的互联网，愿你我携手，共创网络清朗。

微信号：首都网警