Apache Solr Velocity模版注入远程命令执行漏洞预警

一、概要

近日，华为云关注到业界披露了Apache Solr Velocity模版注入远程命令执行漏洞，攻击者利用漏洞通过构造特殊的请求可实现远程命令执行，甚至可直接获取服务器权限。

目前业界已公开POC，华为云提醒用户及时安排自检并做好安全加固。

参考链接：

https://gist.github.com/s00py/a1ba36a3689fa13759ff910e179fc133

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

Apache Solr

四、漏洞排查及处置

漏洞排查（满足以下任意一项，都有可能受漏洞影响）：

1、 Solr的控制台通过POST请求可成功访问，可参考以下命令结构进行测试：

http://hostname/solr/实例名/config

2、 Solr配置文件solrconfig.xml中，“params.resource.loader.enabled”配置项为“true”。

漏洞处置：

目前官方暂未发布该漏洞的补丁程序，华为云建议Solr不要直接对公网开放，并且尽量保持solr请求来源可信。关注官方最新版本发布情况，在官方发布修复版本后，请升级至最新修复版本：https://lucene.apache.org/solr/

针对目前业界已披露的Apache Solr Velocity模板注入漏洞POC，华为云WAF默认支持拦截，使用华为云WAF的用户开启拦截模式后即可实现防护。配置方法参考：https://support.huaweicloud.com/usermanual-waf/waf_01_0008.html

注：修复漏洞前请将资料备份，并进行充分测试。