Vulnérabilité dans Solr d'Apache
Date de publication :
CVE-2021-44548 [Score CVSS v3.1: 8.8]
Le produit Solr d’Apache est une plateforme logicielle qui propose notamment des fonctionnalités avancées de moteur de recherche. Des données peuvent être introduites dans Solr avec l’aide de DataImportHandler.
Le processus de contrôle des données réalisé par DataImportHandler est insuffisant et vulnérable ainsi un attaquant a la capacité d’utiliser des adresses UNC (Universal Naming Convention) afin de s’octroyer des accès aux ressources sensibles.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Contournement de la politique de sécurité
Atteinte à la confidentialité des données
Criticité
Score CVSS v3.1: 8.8
La faille est activement exploitée
Non
Un correctif existe
Oui
Une mesure de contournement existe
Non
Les vulnérabilités exploitées sont du type
CWE-20: Improper Input Validation
Détails sur l’exploitation
Vecteur d’attaque : adjacent
Complexité de l’attaque : Faible
Privilèges nécessaires pour réaliser l’attaque : Non
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
La version 8.11.0 de Solr.
Solutions ou recommandations
- Appliquer la mise à jour vers la version 8.11.1 de Solr, ou une autre version plus récente.