关于Apache Solr Velocity远程命令执行高危漏洞的预警通报

近日，国外安全研究员公开了一个Apache Solr的Velocity模板注入高危漏洞，利用该漏洞可攻击最新版本的Solr，目前该漏洞利用详情（EXP）已公开。公开的EXP可执行任意命令并自带回显。

一、漏洞情况

Apache Solr是一款由Java5语言编写且基于Lucene的企业级搜索应用服务器，它能够对外提供API接口并返回特定搜索结果，具有灵活高效的缓存和垂直搜索等功能，广泛应用于各大企业。

Apache Solr存在模板注入高危漏洞。攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的HTTP请求，在受影响服务器上进行远程代码执行。

二、影响范围

Apache Solr全版本（包括最新版 8.2.0）。

三、处置建议

厂商尚未发布修复补丁，请广大受影响用户参考以下缓解措施进行修复加固。

（一）关闭Solr对外开放功能；

（二）如需对外开放，须设置复杂度较强的管理员口令；

附件：

参考链接

https://lucene.apache.org/solr/guide/8_2/velocity-response-writer.html