Apache Solr 认证绕过漏洞(CVE-2024-45216)
漏洞分析
组件介绍
Solr 是流行的、速度极快的开源企业搜索平台,它建立在Apache Lucene™之上。 Solr 被广泛用于企业搜索、网站搜索和其他大规模数据搜索应用,具有高可扩展性,分布式搜索,实时索引等特点。
漏洞描述
2024年10月30日,深 瞳 漏洞实验室监测到一则Apache- Solr 组件存在身份认证绕过漏洞的信息,漏洞编号:CVE-2024-45216,漏洞威胁等级:严重。
攻击者可构造恶意请求利用 PKIAuthenticationPlugin 造成权限绕过,从而可在未认证的情况下调用。未授权的攻击者可以利用该漏洞绕过身份验证,严重可导致服务器失陷。
影响范围
目前受影响的Apache- Solr 版本:
5.3.0 ≤ Apache Solr < 8.11.4
9.0.0 ≤ Apache Solr < 9.7.0
解决方案
如何检测组件系统版本
Web服务 管理端可查看 当前 solr 版本。
官方修复建议
安全版本:
Apache Solr 8.11.4
Apache Solr 9.7.0
官方已发布安全更新,建议升级 solr 至 8.11.4, 9.7.0及以上版本。下载链接:https://solr.apache.org/downloads.html
Spring Security 静态资源未授权访问漏洞(CVE-2024-38821)
漏洞分析
组件介绍
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实标准。
漏洞描述
2024年10月31日,深 瞳 漏洞实验室监测到一则威 睿 -Spring Security组件存在未授权访问漏洞的信息,漏洞编号:CVE-2024-38821,漏洞威胁等级:严重。
在某些情况下,对静态资源具有 Spring Security 授权规则的 Spring WebFlux 应用程序可以被绕过。未授权的攻击者可以利用该漏洞绕过权限控制,访问静态资源,导致敏感信息泄露和服务器失控。该漏洞利用详情已在互联网上公开。
影响范围
目前受影响的威 睿 -Spring Security版本:
Spring Security ≤ 5.7.12
5.8.0 ≤ Spring Security ≤ 5.8.14
6.0.0 ≤ Spring Security ≤ 6.0.12
6.1.0 ≤ Spring Security ≤ 6.1.10
6.2.0 ≤ Spring Security ≤ 6.2.6
6.3.0 ≤ Spring Security ≤ 6.3.3
四、 修复建议
安全版本:
Spring Security 5.7.13(仅限企业支持)
Spring Security 5.8.15(仅限企业支持)
Spring Security 6.0.13(仅限企业支持)
Spring Security 6.1.11(仅限企业支持)
Spring Security 6.2.7
Spring Security 6.3.4
Vmware 官方已发布最新版本修复该漏洞,建议受影响用户将Spring Security更新到最新版本。下载链接:https://github.com/spring-projects/spring-security/tags
注:部分版本目前只支持企业版本
