[TLP:CLEAR] Apache Solr opravuje 2 zraniteľnosti
Apache Solr verziou 9.10.1 opravuje 2 zraniteľnosti [1][2].
Autentizovanému vzdialenému útočníkovi je v prostredí API potenciálne umožnené vytvárať jadrá pomocou konfiguračných súborov nachádzajúcich sa na postihnutom stroji, ktoré na to pôvodne neboli určené. Zároveň zraniteľnosť na systémoch Windows s povolenými UNC cestami umožňuje únik používateľských NTLM hashov. Zraniteľnosť je zneužiteľná ak inštancia Solr beží v samostatnom móde, používa sa nastavenie "allowPath" a API je dostupné aj pre nedôveryhodných používateľov [1].
Zraniteľnosť sa nachádza v produkte Apache Sorl vo verziách >=8.6.0 AND <9.10.1.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N
Viac informácií:
- CVE-2026-22444 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 20. 1. 2026.
Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k niektorým API. Podmienkou zneužitia zraniteľnosti je používanie rozšírenia "RuleBasedAuthorizationPlugin" v určitej konfigurácii, ktorej detaily sú uvedené na [2].
Zraniteľnosť sa nachádza v produkte Apache Sorl vo verziách >=5.3.0 AND <9.10.1.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Viac informácií:
- CVE-2026-22022 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-285: Improper Authorization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 20. 1. 2026.
Odkazy
Za CESNET-CERTS Martin Krajči dňa 22. 1. 2026.
