【漏洞详情】

近日，平安云安全中心监测到 Apache Solr Velocity模板存在远程代码执行漏洞（CVE-2019-17558），因VelocityResponseWriter功能的配置参数可通过HTTP请求指定，攻击者可通过设置特定参数，注入任意Velocity模板实现远程命令执行，目前漏洞利用代码已经公开，建议受影响的用户及时进行更新修复，避免安全风险。

【风险评级】

高危

【影响范围】

Apache Solr 5.0.0 ~ 8.3.1

【修复建议】

      官方均已发布新版本修复漏洞，建议受影响用户综合评估漏洞风险和业务影响，可通过如下方案避免安全风险

     1）更新Apache Solr到8.4或更高版本；

     2）如配置安全组，仅允许可信网络流量访问Solr服务。

【参考链接】

https://issues.apache.org/jira/plugins/servlet/mobile#issue/SOLR-13971

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2020年1月2日