发布日期：2019-07-11
更新日期：2019-07-11

受影响系统：

Apache Solr 6.6.5
Apache Solr 6.6.4
Apache Solr 6.6.3
Apache Solr 6.6.2
Apache Solr 6.6.1
Apache Solr 6.6
Apache Solr 6.5.1
Apache Solr 6.5
Apache Solr 6.4
Apache Solr 6.3
Apache Solr 6.2
Apache Solr 6.0
Apache Solr 5.5.5
Apache Solr 5.5.4
Apache Solr 5.5.3
Apache Solr 5.5.2
Apache Solr 5.5.1
Apache Solr 5.4.1
Apache Solr 5.4
Apache Solr 5.3.2
Apache Solr 5.3.1
Apache Solr 5.3
Apache Solr 5.2.1
Apache Solr 5.2
Apache Solr 5.1
Apache Solr 5.0

不受影响系统：

Apache Solr 7.0

描述：

---

BUGTRAQ  ID: 107318
CVE(CAN) ID: CVE-2019-0192

Apache Solr是美国Apache软件基金会的一款基于Lucene（一款全文搜索引擎）的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。
Apache Solr中存在反序列化远程代码执行漏洞，该漏洞源于5.0.0到5.5.5和6.0.0到6.6.5版本中，Config API允许通过HTTP POST请求配置JMX服务器。通过将其指向恶意的RMI服务器，攻击者可利用Solr的不安全反序列化来触发Solr端的远程代码执行。

<*来源：Michael Stepankin
  
  链接：https://seclists.org/oss-sec/2019/q1/169
*>

建议：

---

厂商补丁：

SECLISTS
--------
SECLISTS已经为此发布了一个安全公告（CVE-2019-0192）以及相应补丁:
CVE-2019-0192：CVE-2019-0192 Deserialization of untrusted data via jmx.serviceUrl in Apache Solr
链接：https://seclists.org/oss-sec/2019/q1/169

补丁下载：

浏览次数：1981
严重程度：0（网友投票）