Solr /admin/info/properties敏感信息泄漏漏洞 (CVE-2023-50291)

漏洞类型 凭证保护不足 发现时间 2024-02-10 漏洞等级 中危
MPS编号 MPS-8wqo-j4h7 CVE编号 CVE-2023-50291 漏洞影响广度

漏洞危害

OSCS 描述
Apache Solr 是一款开源的搜索引擎。
受影响版本Solr中/admin/info/properties API会将包含password名称的属性值替换为–REDACTED–输出,仍可能存在一些敏感系统属性,如“basicauth”和“aws.secretKey”被设置时不会被过滤,导致敏感信息泄漏。
在修复版本中添加了-Dsolr.hiddenSysProps属性支持,并隐藏已知敏感属性(包括“-Dbasicauth”,以及任何名称中包含“secret”或“password”的属性)。
用户也可以使用以下Java系统属性来修复此问题:-Dsolr.redaction.system.pattern=.*(password|secret|basicauth).*
参考链接:https://www.oscs1024.com/hd/MPS-8wqo-j4h7

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.solr:solr-core [9.0.0, 9.3.0) 升级 将 org.apache.solr:solr-core 升级至 9.3.0 及以上版本
缓解措施 使用以下Java系统属性来修复此问题:-Dsolr.redaction.system.pattern=.*(password|secret|basicauth).*
org.apache.solr:solr-core [6.0.0, 8.11.3) 升级 将 org.apache.solr:solr-core 升级至 8.11.3 及以上版本
缓解措施 使用以下Java系统属性来修复此问题:-Dsolr.redaction.system.pattern=.*(password|secret|basicauth).*
参考链接:https://www.oscs1024.com/hd/MPS-8wqo-j4h7

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-8wqo-j4h7

https://nvd.nist.gov/vuln/detail/CVE-2023-50291

https://solr.apache.org/security.html#cve-2023-50291-apache-solr-can-leak-certain-passwords-due-to-system-property-redaction-logic-inconsistencies

(0)
上一篇 2024年2月12日 上午12:00
下一篇 2024年2月12日 上午12:00

相关推荐

  • Apache OFBiz 未授权远程代码执行漏洞 (CVE-2023-51467)

    漏洞类型 凭据管理错误 发现时间 2023-12-26 漏洞等级 严重 MPS编号 MPS-qkfi-ya3x CVE编号 CVE-2023-51467 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。OFBiz支持运行 Grovvy代码来编程导出数据。 由于LoginWorker.java中使用if (…

    2023年12月27日
    0
  • curl 8.5.0 OCSP 验证绕过 (CVE-2024-0853)

    漏洞类型 证书撤销验证不恰当 发现时间 2024-01-31 漏洞等级 低危 MPS编号 MPS-phcs-y3ga CVE编号 CVE-2024-0853 漏洞影响广度 广 漏洞危害 OSCS 描述 curl 是用于在各种网络协议之间传输数据的命令行工具。 该漏洞导致即使在线证书状态协议(OCSP stapling)测试失败,curl也会在其缓存中保留SS…

    2024年1月31日
    0
  • IP包isPublic函数判断不严 (CVE-2023-42282)

    漏洞类型 对数据真实性的验证不充分 发现时间 2024-02-09 漏洞等级 中危 MPS编号 MPS-svdp-96t3 CVE编号 CVE-2023-42282 漏洞影响广度 小 漏洞危害 OSCS 描述 NPM IP包v.1.1.8及之前版本中isPublic()函数针未正确判断16进制形式的IP地址,当应用使用isPublic()函数判断内外网地址时…

    2024年2月12日
    0
  • Apache XML Graphics Batik<1.17 存在SSRF漏洞 (CVE-2022-44729)

    漏洞类型 SSRF 发现时间 2023-08-23 漏洞等级 中危 MPS编号 MPS-2022-63578 CVE编号 CVE-2022-44729 漏洞影响广度 极小 漏洞危害 OSCS 描述 Apache XML Graphics Batik 是一个开源的、用于处理可缩放矢量图形(SVG)格式图像的工具库。受影响版本中,由于 SVGAbstractTr…

    2023年8月25日
    0
  • Apache Airflow <2.8.0 越权漏洞 (CVE-2023-48291)

    漏洞类型 将资源暴露给错误范围 发现时间 2023-12-21 漏洞等级 中危 MPS编号 MPS-fdcz-e81o CVE编号 CVE-2023-48291 漏洞影响广度 广 漏洞危害 OSCS 描述 Airflow 是一个开源的工作流自动化平台,提供用户定义、调度和监视工作流任务的执行功能。 Apache Airflow中存在越权漏洞,由于auth.p…

    2023年12月26日
    0