Уязвимость обхода относительного пути в Apache Solr. Экземпляры Solr, работающие в Windows, уязвимы для произвольного доступа к записи файл…

Уязвимость обхода относительного пути в Apache Solr. Экземпляры Solr, работающие в Windows, уязвимы для произвольного доступа к записи файла из-за отсутствия очистки входных данных в API "upload configset". Как правило, известные как "zipslip", злонамеренно сконструированные ZIP-файлы могут использовать относительные пути к файлам для записи данных в непредвиденные части файловой системы. Эта проблема затрагивает Apache Solr: с 6.6 по 9.7.0. Пользователям рекомендуется обновиться до версии 9.8.0, в которой эта проблема устранена. Пользователи, не имеющие возможности обновиться, также могут безопасно предотвратить эту проблему, используя "Плагин аутентификации на основе правил" Solr для ограничения доступа к API загрузки configset, чтобы к нему мог получить доступ только доверенный набор администраторов/пользователей.