Vulnerabilidad en Apache Solr en Apache Lucene (CVE-2017-12629)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-611
Restricción incorrecta de referencia a entidad externa XML (XXE)
Fecha de publicación:
14/10/2017
Última modificación:
20/04/2025
Descripción
Ocurre una ejecución remota de código en Apache Solr en versiones anteriores a la 7.1 con Apache Lucene en versiones anteriores a la 7.1 explotando XXE junto con el uso de un comando add-listener de la API de configuración para alcanzar la clase RunExecutableListener. Elasticsearch, a pesar de que emplea Lucene, NO es vulnerable a esto. Es destacable que la vulnerabilidad de XML external entity expansion ocurre en el analizador sintáctico de consulta de XML que está disponible, por defecto, para cualquier petición de consulta con parámetros deftype=xmlparser y puede ser explotado para subir datos maliciosos al manipulador de peticiones /upload o como XXE ciego empleando un contenedor ftp para leer archivos locales arbitrarios del servidor Solr. También hay que tener en cuenta el hecho de que la segunda vulnerabilidad está relacionada con la ejecución remota de código empleando la clase RunExecutableListener disponible en todas las versiones afectadas de Solr.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:solr:*:*:*:*:*:*:*:* | 5.5.0 (incluyendo) | 5.5.4 (incluyendo) |
| cpe:2.3:a:apache:solr:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.6.1 (incluyendo) |
| cpe:2.3:a:apache:solr:*:*:*:*:*:*:*:* | 7.0.0 (incluyendo) | 7.0.1 (incluyendo) |
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:7.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:jboss_enterprise_application_platform:7.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://mail-archives.us.apache.org/mod_mbox/www-announce/201710.mbox/%3CCAOOKt51UO_6Vy%3Dj8W%3Dx1pMbLW9VJfZyFWz7pAnXJC_OAdSZubA%40mail.gmail.com%3E
- http://openwall.com/lists/oss-security/2017/10/13/1
- http://www.securityfocus.com/bid/101261
- https://access.redhat.com/errata/RHSA-2017:3123
- https://access.redhat.com/errata/RHSA-2017:3124
- https://access.redhat.com/errata/RHSA-2017:3244
- https://access.redhat.com/errata/RHSA-2017:3451
- https://access.redhat.com/errata/RHSA-2017:3452
- https://access.redhat.com/errata/RHSA-2018:0002
- https://access.redhat.com/errata/RHSA-2018:0003
- https://access.redhat.com/errata/RHSA-2018:0004
- https://access.redhat.com/errata/RHSA-2018:0005
- https://lists.apache.org/thread.html/r140128dc6bb4f4e0b6a39e962c7ca25a8cbc8e48ed766176c931fccc%40%3Cusers.solr.apache.org%3E
- https://lists.apache.org/thread.html/r26c996b068ef6c5e89aa59acb769025cfd343a08e63fbe9e7f3f720f%40%3Coak-issues.jackrabbit.apache.org%3E
- https://lists.apache.org/thread.html/r3da74965aba2b5f5744b7289ad447306eeb2940c872801819faa9314%40%3Cusers.solr.apache.org%3E
- https://lists.apache.org/thread.html/r95df34bb158375948da82b4dfe9a1b5d528572d586584162f8f5aeef%40%3Cusers.solr.apache.org%3E
- https://lists.debian.org/debian-lts-announce/2018/01/msg00028.html
- https://s.apache.org/FJDl
- https://twitter.com/ApacheSolr/status/918731485611401216
- https://twitter.com/joshbressers/status/919258716297420802
- https://twitter.com/searchtools_avi/status/918904813613543424
- https://usn.ubuntu.com/4259-1/
- https://www.debian.org/security/2018/dsa-4124
- https://www.exploit-db.com/exploits/43009/
- http://mail-archives.us.apache.org/mod_mbox/www-announce/201710.mbox/%3CCAOOKt51UO_6Vy%3Dj8W%3Dx1pMbLW9VJfZyFWz7pAnXJC_OAdSZubA%40mail.gmail.com%3E
- http://openwall.com/lists/oss-security/2017/10/13/1
- http://www.securityfocus.com/bid/101261
- https://access.redhat.com/errata/RHSA-2017:3123
- https://access.redhat.com/errata/RHSA-2017:3124
- https://access.redhat.com/errata/RHSA-2017:3244
- https://access.redhat.com/errata/RHSA-2017:3451
- https://access.redhat.com/errata/RHSA-2017:3452
- https://access.redhat.com/errata/RHSA-2018:0002
- https://access.redhat.com/errata/RHSA-2018:0003
- https://access.redhat.com/errata/RHSA-2018:0004
- https://access.redhat.com/errata/RHSA-2018:0005
- https://lists.apache.org/thread.html/r140128dc6bb4f4e0b6a39e962c7ca25a8cbc8e48ed766176c931fccc%40%3Cusers.solr.apache.org%3E
- https://lists.apache.org/thread.html/r26c996b068ef6c5e89aa59acb769025cfd343a08e63fbe9e7f3f720f%40%3Coak-issues.jackrabbit.apache.org%3E
- https://lists.apache.org/thread.html/r3da74965aba2b5f5744b7289ad447306eeb2940c872801819faa9314%40%3Cusers.solr.apache.org%3E
- https://lists.apache.org/thread.html/r95df34bb158375948da82b4dfe9a1b5d528572d586584162f8f5aeef%40%3Cusers.solr.apache.org%3E
- https://lists.debian.org/debian-lts-announce/2018/01/msg00028.html
- https://s.apache.org/FJDl
- https://twitter.com/ApacheSolr/status/918731485611401216
- https://twitter.com/joshbressers/status/919258716297420802
- https://twitter.com/searchtools_avi/status/918904813613543424
- https://usn.ubuntu.com/4259-1/
- https://www.debian.org/security/2018/dsa-4124
- https://www.exploit-db.com/exploits/43009/