关于Apache Solr身份验证绕过漏洞（CVE-2024-45216）的安全预警

一、 基本情况

Apache Solr是一个开源搜索服务器，使用Java语言开发，主要基于HTTP和Apache Lucene实现。

二、 漏洞描述

Apache Solr发布安全公告，修复了Solr中的一个身份验证绕过漏洞（CVE-2024-45216），官方评级为“严重”。

Apache Solr实例使用PKIAuthenticationPlugin（该插件在使用Solr身份验证时默认启用）时存在身份验证绕过漏洞，攻击者可针对任何Solr API URL构造恶意路径来绕过Solr的认证机制，从而可能访问敏感数据或执行未授权操作。

三、 影响范围

5.3.0 <= Apache Solr < 8.11.4

9.0.0 <= Apache Solr < 9.7.0

四、 修复建议

目前该漏洞已经修复，受影响用户可升级到Apache Solr 8.11.4、9.7.0 或更高版本。

下载链接：

https://solr.apache.org/downloads.html

五、 参考链接

https://solr.apache.org/security.html#cve-2024-45216-apache-solr-authentication-bypass-possible-using-a-fake-url-path-ending

https://seclists.org/oss-sec/2024/q4/31