开源搜索服务存在敏感信息泄漏漏洞，建议尽快升级

Apache Solr 是一个使用 Java 语言开发的开源搜索服务。4 月 13 日，Apache Solr 官方发布了安全更新，修复了搜索服务中发现的敏感信息泄漏等重要漏洞。以下是漏洞要点及解决方案。

漏洞详情

CVE-2021-29262，严重程度：重要。

错误地使用 Zookeeper 的 ACL 可能导致配置的身份验证和授权设置泄露。

CVE-2021-27905，严重程度：重要。

Solr 中存在带有复制处理程序的 SSRF（服务端请求伪造）漏洞。

CVE-2021-29943，严重程度：重要。

未授权的非特权用户可能对集合执行读取/写入。在使用某些身份验证插件时，8.8.2 之前的 Apache Solr 版本将转发/代理请求，使用服务器凭据而不是原始客户端的请求证书，导致授权解析错误。

受影响的产品与版本

上述漏洞影响 Apache Solr 8.8.2 及更早版本。

解决方案

请升级至 Apache Solr 8.8.2 版本，以获得修复。