【漏洞详情】

平安云监测到国外安全研究人员披露了Apache Solr Velocity模版注入远程命令执行漏洞，当获取Solr服务中的Core名称后，通过修改params.resource.loader.enabled的值为True构造特定请求，攻击者可加载指定并执行指定代码，并获取服务器权限，目前PoC已公开，建议Solr用户尽快采取安全措施阻止漏洞攻击。

【风险评级】

高危

【影响范围】

Apache Solr

【修复建议】

目前，官方尚未发布此漏洞的安全补丁，请受影响的用户及时关注官方更新，网址：http://lucene.apache.org/solr/downloads.html

【参考链接】

https://gist.githubusercontent.com/s00py/a1ba36a3689fa13759ff910e179fc133/raw/fae5e663ffac0e3996fd9dbb89438310719d347a/

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2019年10月31日