关联漏洞
标题:Apache Solr 资源管理错误漏洞 (CVE-2019-12401)Description:Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 Apache Solr 1.3.0版本至1.4.1版本、3.1.0版本至3.6.2版本和4.0.0版本至4.10.4版本中存在资源管理错误漏洞。攻击者可利用该漏洞造成拒绝服务。
Description
CVE-2019-12401: XML Bomb in Apache Solr
介绍
# CVE-2019-12401: XML Bomb in Apache Solr
Solr versions prior to 5.0.0 are vulnerable to an XML resource consumption attack (a.k.a. Lol Bomb) via its update handler.
By leveraging XML DOCTYPE and ENTITY type elements, the attacker can create a pattern that will expand when the server parses the XML causing OOMs.
### Vendor Disclosure:
The vendor's disclosure and fix for this vulnerability can be found [here](https://issues.apache.org/jira/browse/SOLR-13750?page=com.atlassian.jira.plugin.system.issuetabpanels%3Aall-tabpanel).
### Proof Of Concept:
More details and the exploitation process can be found in this [PDF](https://github.com/mbadanoiu/CVE-2019-12401/blob/main/Solr%20-%20CVE-2019-12401.pdf).
文件快照
[4.0K] /data/pocs/af4cea0509b1a7a4c87681811346602937a68c9e
├── [ 714] README.md
└── [314K] Solr - CVE-2019-12401.pdf
0 directories, 2 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮件到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对 POC 代码进行快照,为了长期维护,请考虑为本地 POC 付费/捐赠,感谢您的支持。