Apache Solr Operator 身份验证凭据泄漏漏洞 (CVE-2024-31391)

漏洞类型 日志敏感信息泄露 发现时间 2024-04-12 漏洞等级 中危
MPS编号 MPS-xe3h-i1nf CVE编号 CVE-2024-31391 漏洞影响广度 一般

漏洞危害

OSCS 描述
Apache Solr 是一款开源的搜索引擎。
当Solr Operator配置为启用基本身份验证(.solrOptions.security.authenticationType=basic)并要求在运行状况检查探测端点上进行身份验证(.solrOptions.security.probesRequireAuth=true)时(默认参数),该漏洞会导致Solr Operator在探测失败时,在Kubernetes事件日志泄露Solr以及”k8s-oper”账户的用户名和密码。未经授权的攻击者能够获取身份凭据,并利用它们来访问和控制Solr集群。
参考链接:https://www.oscs1024.com/hd/MPS-xe3h-i1nf

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.solr:solr-core [0.3.0, 0.8.0) 升级 将 org.apache.solr:solr-core 升级至 0.8.0 及以上版本
缓解措施 设置“.solrOptions.security.probesRequireAuth=false”禁用健康检查探针上的身份验证
参考链接:https://www.oscs1024.com/hd/MPS-xe3h-i1nf

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-xe3h-i1nf

https://nvd.nist.gov/vuln/detail/CVE-2024-31391

https://lists.apache.org/thread/w7011s78lzywzwyszvy4d8zm99ybt8c7

(0)
上一篇 2024年4月15日
下一篇 2024年4月15日

相关推荐

  • Windows Server NPS 远程代码执行漏洞 (MPS-56ge-38z4)

    漏洞类型 代码注入 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-56ge-38z4 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Windows Server 中的 Network Policy Server (NPS) 是一种网络访问控制器,用于限制用户和设备对网络资源的访问权限,其 IAS Extensi…

    2023年8月22日
    0
  • curl 存在 fopen 竞争条件漏洞 (CVE-2023-32001) [有POC]

    漏洞类型 竞争条件 发现时间 2023/7/27 漏洞等级 中危 MPS编号 MPS-jgni-u9se CVE编号 CVE-2023-32001 漏洞影响广度 广 漏洞危害 OSCS 描述 curl 是一个跨平台的用于数据传输的开源工具。curl 8.2.0之前版本中由于 fopen#Curl_fopen 方法中的 stat(filename, &…

    2023年8月11日
    0
  • Apache XML Graphics Batik<1.17 存在SSRF漏洞 (CVE-2022-44729)

    漏洞类型 SSRF 发现时间 2023-08-23 漏洞等级 中危 MPS编号 MPS-2022-63578 CVE编号 CVE-2022-44729 漏洞影响广度 极小 漏洞危害 OSCS 描述 Apache XML Graphics Batik 是一个开源的、用于处理可缩放矢量图形(SVG)格式图像的工具库。受影响版本中,由于 SVGAbstractTr…

    2023年8月25日
    0
  • kkFileView 4.2.0-4.4.0 任意文件上传导致远程执行漏洞 (MPS-wzyc-o678)

    漏洞类型 任意文件上传 发现时间 2024-04-17 漏洞等级 严重 MPS编号 MPS-wzyc-o678 CVE编号 – 漏洞影响广度 小 漏洞危害 OSCS 描述 kkFileView是使用spring boot搭建的文件文档在线预览解决方案,支持主流办公文档的在线预览。 kkFileView 4.2.0 到4.4.0-beta版本中文件…

    漏洞 2024年4月17日
    0
  • 泛微 e-cology <10.58.3 任意文件上传漏洞

    漏洞类型 任意文件上传 发现时间 2023/7/26 漏洞等级 严重 MPS编号 MPS-rkja-iwgs CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 泛微协同管理应用平台(e-cology)是一套企业大型协同管理平台。泛微 e-cology 10.58.3之前版本存在任意文件上传漏洞,由于上传接口身份认证缺失,未经过身份验证的…

    2023年8月11日
    0