| 漏洞类型 | 凭证保护不足 | 发现时间 | 2024-02-10 | 漏洞等级 | 中危 |
| MPS编号 | MPS-8wqo-j4h7 | CVE编号 | CVE-2023-50291 | 漏洞影响广度 | 小 |
漏洞危害
| OSCS 描述 |
| Apache Solr 是一款开源的搜索引擎。 受影响版本Solr中/admin/info/properties API会将包含password名称的属性值替换为–REDACTED–输出,仍可能存在一些敏感系统属性,如“basicauth”和“aws.secretKey”被设置时不会被过滤,导致敏感信息泄漏。 在修复版本中添加了-Dsolr.hiddenSysProps属性支持,并隐藏已知敏感属性(包括“-Dbasicauth”,以及任何名称中包含“secret”或“password”的属性)。 用户也可以使用以下Java系统属性来修复此问题:-Dsolr.redaction.system.pattern=.*(password|secret|basicauth).* 参考链接:https://www.oscs1024.com/hd/MPS-8wqo-j4h7 |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| org.apache.solr:solr-core [9.0.0, 9.3.0) | 升级 | 将 org.apache.solr:solr-core 升级至 9.3.0 及以上版本 |
| 缓解措施 | 使用以下Java系统属性来修复此问题:-Dsolr.redaction.system.pattern=.*(password|secret|basicauth).* | |
| org.apache.solr:solr-core [6.0.0, 8.11.3) | 升级 | 将 org.apache.solr:solr-core 升级至 8.11.3 及以上版本 |
| 缓解措施 | 使用以下Java系统属性来修复此问题:-Dsolr.redaction.system.pattern=.*(password|secret|basicauth).* | |
| 参考链接:https://www.oscs1024.com/hd/MPS-8wqo-j4h7 | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-8wqo-j4h7
