尊敬的腾讯云用户，您好！

近日，腾讯云安全运营中心监测到，Apache Solr近日发布公告，修复了ConfigSet API中存在的未授权上传漏洞风险（漏洞编号：CVE-2020-13957），漏洞被利用可导致远程代码执行。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Apache Solr是Apache软件基金会的一款基于Lucene（一款全文搜索引擎）的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。

近日，Apache Solr官方发布公告，披露了ConfigSet API中存在未授权上传漏洞，该漏洞被利用可导致远程代码执行风险。

风险等级

高风险

漏洞风险

ConfigSet Upload机制存在绕过，可被攻击者利用进行远程代码执行攻击。

影响版本

Apache Solr 6.6.0 to 6.6.5

Apache Solr 7.0.0 to 7.7.3

Apache Solr 8.0.0 to 8.6.2

安全版本

Apache Solr 8.6.3或更高版本

修复建议

官方已发布漏洞修复补丁及新版本，用户可参照如下任意一种修复方案进行修复：

1、如果未使用ConfigSets API，请禁用UPLOAD命令，方法是设置系统属性：从“configset.upload.enabled”更改为“ false” ，参考链接：https://lucene.apache.org/solr/guide/8_6/configsets-api.html

2、使用身份验证/授权，确保未知请求不被允许，参考链接：https://lucene.apache.org/solr/guide/8_6/authentication-and-authorization-plugins.html

3、升级到Solr 8.6.3或更高版本

4、如果无法升级，请考虑应用SOLR-14663公告中的补丁，参考链接：https://issues.apache.org/jira/browse/SOLR-14663

5、不要将Solr API（包括Admin UI）暴露给不受信任的第三方，调整防火墙，确保只有受信任IP和用户才能访问

【备注】：建议您在安装补丁前做好数据备份工作，避免出现意外

1、腾讯T-Sec主机安全（云镜）漏洞库日期2020-10-13之后的版本，已支持对Apache Solr ConfigSet API中存在的未授权上传漏洞（漏洞编号：CVE-2020-13957）进行检测。

2、腾讯T-Sec云防火墙规则库2020-10-13之后的版本，已支持对Apache Solr ConfigSet API中存在的未授权上传漏洞（漏洞编号：CVE-2020-13957）的检测和拦截，当前规则库尚在灰度测试中，预计稍后会同步至所有用户。

关于腾讯T-Sec云防火墙的更多信息，可参考：https://cloud.tencent.com/product/cfw

漏洞参考

1）漏洞详情：https://issues.apache.org/jira/browse/SOLR-14663