北京赛克艾威科技有限公司 2026-06-01
Apache Solr 是一个开源的企业级搜索平台,基于 Apache Lucene 构建,提供强大的全文搜索、实时索引、分布式搜索、分面导航和大数据处理能力。Solr 广泛应用于电子商务网站、企业内容管理系统、日志分析平台和大数据检索场景中,支持水平扩展的 SolrCloud 集群架构,能够处理海量数据并提供高可用性搜索服务,是全球最受欢迎的企业搜索解决方案之一。 该漏洞源于 Solr 的 Basic Authentication 初始化工具(bin/solr auth enable)在配置认证时,会在 security.json 文件中静默安装额外的模板用户账户(包括 superadmin、admin、search、index),这些账户使用了公开已知的默认凭据(用户名与密码相同)。攻击者可利用该漏洞,通过使用这些公开已知的默认凭据直接登录 Solr 管理 API,获取集群的完全管理权限,进而访问索引数据、修改认证配置、创建后门账户,并可能根据集群配置进一步实现远程代码执行。
暂无