Apache Solr RCE – 绿盟科技技术博客

【安全漏洞】CVE-2017-12629 – Apache Solr XXE & RCE 漏洞分析

2017-10-24高东Apache Solr, Apache Solr RCE, Apache Solr XXE, CVE-2017-12629, 漏洞分析

Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发，主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞：XML实体扩展漏洞（XXE）和远程命令执行漏洞（RCE）。