义气音响
Apache Solr stream.url SSRF与任意文件读取漏洞(附pythonEXP脚本)脚本仅供参考,非法勿做
漏洞背景Apache Solr是一个开源的搜索服务,使用Java语言开发。Apache Solr的某些功能存在过滤不严格,在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或文件读取漏洞。目前互联网已公开漏洞poc,建议相关用户及时采取措施阻止攻击。fofa查询app="APACHE-Solr"影响范围Apache Solr 所有版本漏洞复现首先访问,获取实例对象的名称,实例对象的名称为 gastearsivi/solr/ad
