Informazioni sul CVE-2025-24814

Apache Solr: Core-creation with "trusted" configset can use arbitrary untrusted files

CWE ID: CWE-250

Base Score (CVSS): N/A

CVE: CVE-2025-24814

Descrizione: “La creazione del core consente agli utenti di sostituire i file di configurazione “configurazioni fidate” con file di configurazione arbitrari. I Solr instance che (1) utilizzano il componente “FileSystemConfigSetService” (il predefinito in “standalone” o “user-managed”), e (2) sono in esecuzione senza autenticazione e autorizzazione sono vulnerabili a un tipo di escalation di privilegio in cui singoli file di configurazione “fidate” possono essere ignorati a favore di possibili sostituzioni disponibili altrove sul filesystem. Questi file di configurazione sostituiti sono trattati come “fidati” e possono utilizzare `` tag per aggiungere al classpath di Solr, il che un attaccante potrebbe usare per caricare codice malevolo come componente di ricerca o plugin. Questo problema si applica a tutte le versioni di Apache Solr fino a Solr 9.7. Gli utenti possono proteggersi da questa vulnerabilità abilitando l’autenticazione e l’autorizzazione sui loro cluster Solr o cambiando a SolrCloud (e evitando l’utilizzo del componente “FileSystemConfigSetService”). Si raccomanda inoltre agli utenti di aggiornare a Solr 9.8.0, che mitiga questo problema disabilitando l’uso di `` tag per impostazione predefinita.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica Valore Significato Descrizione

Riferimenti esterni

Prodotti interessati

  • Apache Software Foundation – Apache Solr

Relazioni con altri prodotti

Produttore:Apache Software Foundation
Prodotto: Apache Solr
Anno: 2025
CWE: CWE-250
CVSS: 0.0

Ulteriori risorse disponibili