Apache Solr 未授权文件上传漏洞CVE-2020-13957

Apache Solr是一个开源的搜索服务器。具有高度可靠、可伸缩和容错的，提供分布式索引、复制和负载平衡查询、自动故障转移和恢复、集中配置等功能。

Solr为世界上许多的互联网站点提供搜索和导航功能。Solr使用Java语言开发，主要基于HTTP和Apache Lucene实现。

Apache Solr中存储的资源是以Document 为对象进行存储的。每个文档由一系列的 Field构成，每个Field表示资源的一个属性。Solr中的每个Document需要有能唯一标识其自身的属性，默认情况下这个属性的名字是id，在Schema配置文件中使用： id 进行描述。

10月12日Apache软件基金会发布安全公告，修复了Apache Solr未授权文件上传漏洞（CVE-2020-13957）。

Apache Solr Configset Api上传功能存在未授权文件上传漏洞。攻击者通过构造恶意请求，上传恶意文件，从而可以直接获取到服务器权限。

受影响版本：

Apache Solr  6.6.0 - 6.6.5

Apache Solr  7.0.0 - 7.7.3

Apache Solr  8.0.0 - 8.6.2

目前厂商已在最新版本修复该漏洞，请受影响的用户升级到Apache Solr  8.6.3最新版本，下载链接：

https://lucene.apache.org/solr/downloads.html