【高危】Apache Solr 代码执行漏洞(MPS-wic0-9hjb)

原创 于 2023-04-18 18:26:13 发布 · 745 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#solr #apache #lucene #网络安全
ApacheSolr的特定版本存在一个服务端请求伪造漏洞,允许攻击者通过构造恶意配置文件执行任意Java代码。此问题已在9.2.0及更高版本中修复。建议用户升级到最新版本或加强Solr的身份验证。墨菲安全提供了相关工具和服务,支持软件供应链安全管理。

漏洞描述

Apache Solr 是一款开源的搜索引擎。

在Apache Solr 受影响版本中,由于Solr默认配置下存在服务端请求伪造漏洞,且SolrResourceLoader中实现了java SPI机制。当Solr以SolrCloud模式启动时,攻击者可以通过构造恶意的solrconfig.xml文件,组合利用从而执行任意java代码。
该漏洞已存在POC。

漏洞名称Apache Solr 代码执行漏洞
漏洞类型关键资源的不正确权限授予
发现时间2023/4/15
漏洞影响广度一般
MPS编号MPS-wic0-9hjb
CVE编号-
CNVD编号-

影响范围

org.apache.solr:solr-core@[8.10.0, 9.2.0)

修复方案

升级org.apache.solr:solr-core到 9.2.0 或更高版本

以 solrcloud 方式部署的机器不出网或添加Solr身份校验。

参考链接

https://www.oscs1024.com/hd/MPS-wic0-9hjb

https://blog.noah.360.net/apache-solr-rce/

https://Solr.apache.org/guide/6_6/authentication-and-authorization-plugins.html

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。
开源项目:https://github.com/murphysecurity/murphysec/?sf=qbyj

产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
免费代码安全检测工具: https://www.murphysec.com/?sf=qbyj
免费情报订阅: https://www.oscs1024.com/cm/?sf=qbyj

在这里插入图片描述

博客
墨菲安全联合公安三所、国泰海通证券发布《漏洞及投毒情报应用实践指南》
05-08 405
墨菲安全联合公安三所、国泰海通证券发布《漏洞及投毒情报应用实践指南》2026版,指南指出企业安全面临组件选型风险、告警误报多、影响范围错误、漏洞细节缺失四大痛点,亟需提升情报应用能力。
博客
墨菲安全发布《安全度量最佳实践2026版》
04-20 456
《安全度量最佳实践2026版》为企业安全治理提供系统化解决方案。该实践基于ESSF框架,提出CSI、SAI、SII三类核心指标,将传统“问题清单”升级为可量化的“风险指数”。报告包含7大章节,从需求调研到常态化运营,完整覆盖安全度量建设路径,重点解决管理层决策难、跨部门协同弱、成效评估模糊等痛点。通过建立统一的安全度量语言,实现风险可视化、责任可追溯、治理可闭环,推动企业安全建设从经验驱动转向数据驱动。该实践整合多行业头部企业经验,为企业提供可落地的量化治理方案。
博客
墨菲安全联合中国电信研究院发布《开源安全治理最佳实践》
03-18 429
《开源安全治理最佳实践2026版》发布,揭示开源安全严峻态势:2025年新增漏洞42万+,恶意组件5.9万+,53%企业存在许可证冲突。报告指出企业面临资产不清、漏洞难修、风险难防三大痛点,提出覆盖全生命周期的七大治理方案,包括现状分析、技术选型、组织推动等关键环节。报告强调开源治理需建立SBOM管理、前置拦截等五项核心能力,并提供从认知到落地的完整方法路径。该报告由墨菲安全联合中国电信研究院及行业专家共同编制,基于数百家企业实践,旨在帮助企业构建可持续的开源安全治理体系。
博客
墨菲安全研究院联合涂鸦等企业发布《出海智能制造开源安全治理最佳实践》
06-17 259
出海智能制造企业面临开源安全治理新挑战,风险边界已从组件漏洞扩展到供应链攻击、恶意投毒等新场景。这类企业因涉及固件、嵌入式软件等多环节,风险影响更复杂,且海外监管日益严格。墨菲安全研究院联合涂鸦智能、安克创新发布《出海智能制造开源安全治理最佳实践》,针对SBOM、许可证合规等核心问题,提供从风险识别到持续改进的治理方案,助力企业将安全治理转化为长期能力。
博客
你装的 Skill 真的能用,但也真的会把你的隐私数据带走
06-10 188
AI Skill安全风险引发供应链安全新挑战。随着AI Agent功能扩展,各类 Skill 虽提升效率,却暗藏安全隐患:恶意Skill可能窃取SSH私钥、环境变量等敏感信息,或通过隐蔽指令泄露数据。墨菲安全SCA推出Skills检测模块,从代码、提示词、操作指令等多维度分析风险,提供具体证据而非笼统警告。建议企业在引入Skill前进行安全审查,平衡效率与安全,避免“有用但危险”的Skill进入生产环境。
博客
近期投毒事件频发,关基行业如何降低供应链投毒风险?
06-04 217
供应链投毒攻击正在从开源组件仓库扩散到 CI/CD、IDE/浏览器插件和 AI 生态。墨菲安全“供应链投毒风险治理方案”,帮助企业建立“感知-检测-阻断”一体化治理思路。
博客
墨菲安全获评超聚变探索者大会2026“聚智·同行伙伴”
05-28 351
墨菲安全与超聚变深度合作,共同打造FusionOS26 AI原生操作系统安全方案,获评“聚智·同行伙伴”。双方围绕软件供应链安全展开合作,推动安全能力从单点防护向原生融合演进。墨菲安全通过AI技术重构漏洞治理效率,将安全能力工程化,并构建平台化安全协同体系,实现从风险识别到价值量化的转变。同时,墨菲安全持续扩展AI生态安全能力,覆盖新型风险场景。未来,安全行业将聚焦构建具备持续风险理解与治理能力的AI原生系统,墨菲安全将继续深化与行业伙伴合作,推动安全能力成为企业核心能力。
博客
墨菲安全发布SCA 4.0:AI原生、Skills 检测
04-14 367
企业安全治理面临SCA工具效率低下的痛点:传统产品仅提供漏洞信息而非行动方案,导致安全、研发、法务多角色沟通成本高。墨菲安全SCA4.0通过AI原生重构实现三大突破:1、AI自动输出可执行结论,让研发无需安全背景即可完成修复;2、将单漏洞处置时间从数小时缩短至分钟级;3、扩展检测范围至AI生态(如Skills供应链安全)。该方案颠覆了“信息交付”模式,通过AI驱动全流程决策,真正实现低成本高效治理。
博客
墨菲安全正式发布AI原生企业安全治理平台SGP
03-19 616
墨菲安全推出AI原生安全治理平台(SGP),基于企业安全治理框架(ESSF)实现科学度量和高效治理。SGP通过动态更新的开源框架统一安全度量标准,让企业管理者、业务部门和安全团队都能清晰理解安全水位。平台利用墨思AIAgent重构安全问题处置流程,实现300倍效率提升,包括智能研判、优先级排序和一键处置等功能。SGP核心价值在于“让安全价值被看见”和“让问题处置更高效”;旨在改变安全部门长期面临的“背锅”困境。产品经过2年打磨和头部企业试点,现正式开放体验通道,创始人将全程支持试用过程。
博客
IDE插件和AI工具正成为投毒攻击的新“蓝海”
03-05 289
《2025软件供应链投毒风险报告》揭示攻击边界正从传统组件仓库向IDE插件和AI工具链扩展。报告指出,VSCode、Chrome等插件因高权限和用户信任成为新型攻击载体。AI生态更出现“幻觉投毒”新手法。软件供应链安全边界正在消失,企业必须将防御范围扩展到研发终端和AI风险领域。
博客
2025年软件供应链投毒攻击的三个致命演变
03-03 377
《2025年软件供应链投毒风险研究报告》显示,软件供应链投毒风险呈现三大致命演变:攻击精准化,从随机钓鱼转向针对特定目标的定制化攻击;传播自动化,Shai-Hulud蠕虫式攻击在2天内感染500多个NPM组件,波及2万多个GitHub仓库;危害直接化,攻击目标转向直接获利,如TrustWallet因投毒损失850万美元。表明软件供应链投毒已从边缘风险升级为核心安全威胁,亟需升级防御策略。
博客
【重磅发布】2025年度软件供应链投毒风险研究报告
02-28 205
2025年开源软件供应链投毒威胁显著加剧,全年投毒包总量达59,000个,较2024年增长超50%。攻击呈现三大新趋势:定向精准狩猎取代广撒网式攻击;蠕虫式传播(如Shai-Hulud事件)导致大规模感染;目标转向可直接变现的高价值凭据。墨菲安全研究院发布《2025年度软件供应链投毒风险研究报告》,提出自动化检测、终端管控等系统性治理建议,为企业安全团队提供应对方案。
博客
AI Agent失控风险:OpenClaw从提示词注入到skill投毒
02-04 1838
高权限AI代理(如OpenClaw)正面临严重安全风险,包括提示词注入攻击和恶意Skill扩展。研究发现约10%的第三方Skill存在投毒行为,通过文档引导、分阶段投放等方式执行恶意操作,导致数据泄露和权限获取风险。企业应隔离不可信输入、严格审查第三方Skill,并限制代理权限范围。文章提供了相关IOC指标和恶意Skill清单,建议采取沙箱运行、最小权限等防护措施。
博客
墨菲安全连续入选《中国网络安全新势力30强》,实力领航软件供应链安全
02-03 185
近日,网络安全垂直领域的产业研究机构——数说安全,发布了备受瞩目的《2025年中国网络安全新势力30强》榜单。墨菲安全凭借在软件供应链安全领域的突出表现与持续创新,连续第二年荣耀登榜,这不仅是对墨菲安全技术实力与产品化能力的持续认可,也印证了公司在产品创新、服务落地与行业贡献方面的长期价值。
博客
SHA1HULUD蠕虫再现:超300NPM包被投毒、 2万仓库信息被窃取
12-04 1285
2025年11月24日,墨菲安全实验室检测到数小时内NPM仓库中超过300个组件被相同的方式投毒,这些包在NPM仓库中发布的新版本仿冒引入Bun运行时,引入 preinstall: node setup_bun.js,以及混淆的 bun_environment.js 文件。
博客
NPM组件 @capacitor-bmo/biometric 等窃取主机敏感信息
08-26 685
NPM组件@capacitor-bmo/biometric等多个包存在高危投毒漏洞,安装后会窃取主机名、用户名、IP地址并发送至攻击者服务器。影响ember-lts-4.4、gannache、solana-pump-test等50余个组件特定版本,无修复版本。利用成本低、可能性中,建议立即排查卸载受影响包,删除依赖重装,检查系统异常通信及敏感凭证安全,加强依赖管理。
博客
NPM组件 @mz-codes/const 等窃取主机敏感信息
08-21 630
【高危】NPM组件投毒漏洞影响@mz-codes/const等多个包,安装后会窃取主机名、用户名、IP等敏感信息并发送至攻击者服务器。受影响版本多为特定版本(如@mz-codes/const@1.1.3、orion-ui@0.1.0-9.2.2等),目前无最小修复版本。利用成本低,可能性中。建议立即排查并移除恶意包,删除node_modules和package-lock.json后重装依赖,检查系统安全,加强依赖管理,仅用官方源并定期审计。
博客
Google Chrome V8 <14.1.58 越界写入漏洞
08-21 984
CVE-2025-9132是Google Chrome V8引擎高危越界写入漏洞,影响V8<14.1.58(对应Chrome<141.0.7355.0)。因V8解析C风格for循环内await using声明时存在逻辑缺陷,生成错误字节码,JIT编译器处理时触发越界内存写入,可破坏内存结构导致浏览器渲染器进程执行任意代码。修复通过修改解析函数,强制将相关变量模式视为常量以确保异步资源释放正确处理。建议升级V8至14.1.58+或Chrome至141.0.7355.0+。
博客
NGINX ngx_mail_smtp_module 内存越界读取漏洞
08-21 1729
【中危】NGINX ngx_mail_smtp_module内存越界读取漏洞(CVE-2025-53859)影响版本[0.7.22, 1.29.1)。启用该模块且smtp_auth设为none时,认证服务器返回Auth-Wait响应会触发认证错误处理缺陷,导致内存越界读取,泄露服务器数据。建议升级至1.29.1及以上版本,或修改smtp_auth为非none方法,禁用不必要的smtp模块。
博客
NPM组件 @angular_devkit/core 等窃取主机敏感信息
08-21 1003
【高危】多个NPM组件(如@angular_devkit/core、microsoft-bonsai-api等)存在投毒风险,安装后会窃取主机名、用户名、IP地址等敏感信息并发送至攻击者服务器。影响范围广,涉及Angular开发工具、微软Bonsai API、Solana生态等领域组件。利用成本低,建议立即排查移除受影响包,删除node_modules及package-lock.json后重装依赖,全面检查系统安全,加强依赖管理,避免使用未知来源包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值