目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2019-17558— Apache Solr 注入漏洞

AI 预测 8.1 利用难度: 中等 KEV EPSS 98.57% · P100
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2019-17558 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Apache Solr 5.0.0 to Apache Solr 8.3.1 are vulnerable to a Remote Code Execution through the VelocityResponseWriter. A Velocity template can be provided through Velocity templates in a configset `velocity/` directory or as a parameter. A user defined configset could contain renderable, potentially malicious, templates. Parameter provided templates are disabled by default, but can be enabled by setting `params.resource.loader.enabled` by defining a response writer with that setting set to `true`. Defining a response writer requires configuration API access. Solr 8.4 removed the params resource loader entirely, and only enables the configset-provided template rendering when the configset is `trusted` (has been uploaded by an authenticated user).
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
Apache Solr 注入漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Apache Solr是美国阿帕奇(Apache)基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 5.0.0版本至8.3.1版本中存在注入漏洞。攻击者可借助Velocity模板利用该漏洞在系统上执行任意代码。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

神龙十问 — AI 深度分析

十问解析:根本原因、利用方式、修复建议、紧迫性。摘要免费,完整版需登录。

受影响产品

厂商产品影响版本CPE订阅
-Apache Solr Apache Solr 5.0.0 to Apache Solr 8.3.1 -

二、漏洞 CVE-2019-17558 的公开POC

#POC 描述源链接神龙链接
1CVE-2019-17558 Solr模板注入漏洞图形化一键检测工具。CVE-2019-17558 Solr Velocity Template Vul POC Tool.https://github.com/SDNDTeam/CVE-2019-17558_Solr_Vul_ToolPOC详情
2Exphub[漏洞利用脚本库] 包括Webloigc、Struts2、Tomcat、Nexus、Solr、Jboss、Drupal的漏洞利用脚本,最新添加CVE-2020-14882、CVE-2020-11444、CVE-2020-10204、CVE-2020-10199、CVE-2020-1938、CVE-2020-2551、CVE-2020-2555、CVE-2020-2883、CVE-2019-17558、CVE-2019-6340https://github.com/zhzyker/exphubPOC详情
3Solr_CVE-2019-17558https://github.com/Ma1Dong/Solr_CVE-2019-17558POC详情
4Apache Solr 1.4 Injection to get a shellhttps://github.com/xkyrage/Exploit_CVE-2019-17558-RCEPOC详情
5CVE-2019-17558 Solr模板注入漏洞图形化一键检测工具。CVE-2019-17558 Solr Velocity Template Vul POC Tool.https://github.com/thelostworldFree/CVE-2019-17558_Solr_Vul_ToolPOC详情
6Apache Solr versions 5.0.0 to 8.3.1 are vulnerable to remote code execution vulnerabilities through the VelocityResponseWriter. A Velocity template can be provided through Velocity templates in a configset `velocity/ directory or as a parameter. A user defined configset could contain renderable, potentially malicious, templates. Parameter provided templates are disabled by default, but can be enabled by setting `params.resource.loader.enabled by defining a response writer with that setting set to `true`. Defining a response writer requires configuration API access. Solr 8.4 removed the params resource loader entirely, and only enables the configset-provided template rendering when the configset is `trusted` (has been uploaded by an authenticated user).https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2019/CVE-2019-17558.yamlPOC详情
7Nonehttps://github.com/Threekiii/Awesome-POC/blob/master/%E4%B8%AD%E9%97%B4%E4%BB%B6%E6%BC%8F%E6%B4%9E/Apache%20Solr%20Velocity%20%E6%B3%A8%E5%85%A5%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%20CVE-2019-17558.mdPOC详情
8https://github.com/vulhub/vulhub/blob/master/solr/CVE-2019-17558/README.mdPOC详情
9Nonehttps://github.com/rogerzeferino/Apache-Solr-RCE-CVE-2019-17558POC详情
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2019-17558 的情报信息

登录查看更多情报信息。

CVE-2019-17558 厂商安全公告 (1)

CVE-2019-17558 公开利用代码 (1)

CVE-2019-17558 邮件列表归档 (25)

CVE-2019-17558 其他参考 (1)

同批安全公告 · n/a · 2019-12-30 · 共 65 条

CVE-2018-20493GitLab 安全漏洞
CVE-2019-20165GPAC 代码问题漏洞
CVE-2019-20162GPAC 缓冲区错误漏洞
CVE-2019-20163GPAC 代码问题漏洞
CVE-2019-20164GPAC 代码问题漏洞
CVE-2018-20498GitLab 访问控制错误漏洞
CVE-2018-20497GitLab 代码问题漏洞
CVE-2018-20496GitLab 跨站脚本漏洞
CVE-2018-20495GitLab 信息泄露漏洞
CVE-2018-20494GitLab 访问控制错误漏洞
CVE-2018-20499GitLab 代码问题漏洞
CVE-2018-20491GitLab 跨站脚本漏洞
CVE-2018-20490GitLab 跨站脚本漏洞
CVE-2018-20489GitLab 授权问题漏洞
CVE-2018-20488GitLab 信息泄露漏洞
CVE-2018-7859D-Link DGS-1510 跨站脚本漏洞
CVE-2019-19032XMLBlueprint 代码问题漏洞
CVE-2019-19031Easy XML Editor 代码问题漏洞
CVE-2019-20149kind-of 注入漏洞
CVE-2019-13445ROS communications-related packages 输入验证错误漏洞

显示前 20 条,共 65 条。 查看全部 → →

IV. Related Vulnerabilities

V. Comments for CVE-2019-17558

暂无评论


发表评论