Vulnerabilidad en Core creation (CVE-2025-24814)

Core creation permite a los usuarios reemplazar archivos de configuración "confiables" con instancias Solr de configuración arbitraria que (1) usan el componente "FileSystemConfigSetService" (el valor predeterminado en modo "autónomo" o "administrado por el usuario") y (2) se ejecutan sin autenticación ni autorización y son vulnerables a una especie de escalada de privilegios en la que los archivos de configuración "confiables" individuales pueden ignorarse a favor de reemplazos potencialmente no confiables disponibles en otras partes del sistema de archivos. Estos archivos de configuración de reemplazo se tratan como "confiables" y pueden usar etiquetas "" para agregarlos a la ruta de clase de Solr, que un atacante podría usar para cargar código malicioso como un searchComponent u otro complemento. Este problema afecta a todas las versiones de Apache Solr hasta Solr 9.7. Los usuarios pueden protegerse contra la vulnerabilidad habilitando la autenticación y la autorización en sus clústeres Solr o cambiando a SolrCloud (y dejando de lado "FileSystemConfigSetService"). También se recomienda a los usuarios actualizar a Solr 9.8.0, que mitiga este problema al deshabilitar el uso de etiquetas "" de forma predeterminada.