Vulnérabilité dans Solr d'Apache
Date de publication :
CVE-2021-44548 [Score CVSS v3.1: 8.8]
Le produit Solr d’Apache est une plateforme logicielle qui propose notamment des fonctionnalités avancées de moteur de recherche. Des données peuvent être introduites dans Solr avec l’aide de DataImportHandler.
Le processus de contrôle des données réalisé par DataImportHandler est insuffisant et vulnérable ainsi un attaquant a la capacité d’utiliser des adresses UNC (Universal Naming Convention) afin de s’octroyer des accès aux ressources sensibles.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
Criticité
- Score CVSS v3.1: 8.8
La faille est activement exploitée
- Non
Un correctif existe
- Oui
Une mesure de contournement existe
- Non
Les vulnérabilités exploitées sont du type
- CWE-20: Improper Input Validation
Détails sur l’exploitation
- Vecteur d’attaque : adjacent
- Complexité de l’attaque : Faible
- Privilèges nécessaires pour réaliser l’attaque : Non
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non
Composants vulnérables.
- La version 8.11.0 de Solr.
Solutions ou recommandations
- Appliquer la mise à jour vers la version 8.11.1 de Solr, ou une autre version plus récente.