[漏洞预警]Apache Solr Velocity模板远程代码执行

释放双眼,带上耳机,听听看~!

漏洞描述

近日,国外安全研究员s00py公开了一个Apache SolrVelocity模板注入的漏洞.经过亚信安全网络攻防实验室研究,发现该0day漏洞真实存在,并且可以攻击最新版本的Solr.目前该漏洞利用详情已经广泛流传于Github以及各大安全群,且公开的EXP可以执行任意命令并自带回显.官方暂未发布补丁.

CVE编号

暂无

漏洞威胁等级

高危

影响范围

包括但不限于8.2.0(最新版本)

漏洞复现

使用payload进行验证

弹出计算器效果如下:

命令执行回显效果如下:

修复建议

暂无,请等待官方更新

Reference

https://lucene.apache.org/solr/

来源:亚信安全网络攻防实验室

验证POC仅供测试环境学习用途,禁止用于非法攻击,站长及发布方不承担产生的任何问题!

 

隐藏内容,您需要满足以下条件方可查看
End

人已赞赏
安全工具安全新闻

漏洞预警-ThinkCMFX文件包含漏洞(可写入任意文件)

2019-10-23 15:34:21

安全新闻

“黑客”入侵服务器获利百万难逃法网

2019-11-1 15:25:16

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索