Vulnerabilidad en Apache Solr (CVE-2026-22022)

Las implementaciones de Apache Solr 5.3.0 hasta 9.10.0 que dependen del &amp;#39;Rule Based Authorization Plugin&amp;#39; de Solr son vulnerables a permitir acceso no autorizado a ciertas APIs de Solr, debido a una validación de entrada insuficientemente estricta en esos componentes. Solo las implementaciones que cumplen todos los siguientes criterios se ven afectadas por esta vulnerabilidad:<br /> <br /> * Uso del &amp;#39;RuleBasedAuthorizationPlugin&amp;#39; de Solr<br /> * Una configuración de RuleBasedAuthorizationPlugin (ver security.json) que especifica múltiples &amp;#39;roles&amp;#39;<br /> * Una lista de permisos de RuleBasedAuthorizationPlugin (ver security.json) que utiliza una o más de las siguientes reglas de permiso predefinidas: &amp;#39;config-read&amp;#39;, &amp;#39;config-edit&amp;#39;, &amp;#39;schema-read&amp;#39;, &amp;#39;metrics-read&amp;#39; o &amp;#39;security-read&amp;#39;.<br /> * Una lista de permisos de RuleBasedAuthorizationPlugin que no define el permiso predefinido &amp;#39;all&amp;#39;<br /> * Una configuración de red que permite a los clientes realizar solicitudes de red sin filtrar a Solr. (es decir, las solicitudes HTTP/HTTPS enviadas por el usuario llegan a Solr tal cual, sin modificar ni restringir por ningún proxy o puerta de enlace intermedio)<br /> <br /> Los usuarios pueden mitigar esta vulnerabilidad asegurándose de que su configuración de RuleBasedAuthorizationPlugin especifique el permiso predefinido &amp;#39;all&amp;#39; y asocie el permiso con un rol &amp;#39;admin&amp;#39; u otro rol privilegiado. Los usuarios también pueden actualizar a una versión de Solr fuera del rango afectado, como el recientemente lanzado Solr 9.10.1.