[TLP:CLEAR] Apache Solr upozorňuje na 1 zranitelnost
Apache Software Foundation upozorňuje na zranitelnost v produktu Apache Solr. Oprava bude součástí dosud nevydaných verzí 9.11.0 a 10.1.0. Do jejich vydání je jako dočasné opatření doporučeno odstranit ze souboru security.json šablonové uživatele (superadmin, admin, search a index), případně jim změnit hesla [1].
Neautentizovanému vzdálenému útočníkovi je kvůli pevně zakódovaným přihlašovacím údajům v nástroji pro nastavení Basic Authentication (bin/solr auth enable) umožněno získat plný administrátorský přístup ke clusteru Apache Solr [1].
Zranitelnost se nachází v produktu Apache Solr ve verzích >=9.4.0 AND <=9.10.1 AND =10.0.0.
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-44825 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1188: Initialization of a Resource with an Insecure Default at cwe.mitre.org
- CWE-798: Use of Hard-coded Credentials at cwe.mitre.org
Zranitelnost byla veřejně oznámena 29. 5. 2026.
Za CESNET-CERTS Michaela Jarošová dne 3. 6. 2026.
