Vulnerabilidad en Apache Solr (CVE-2023-50298)

Exposición de información confidencial a una vulnerabilidad de actor no autorizado en Apache Solr. Este problema afecta a Apache Solr: desde 6.0.0 hasta 8.11.2, desde 9.0.0 antes de 9.4.1. Solr Streaming Expressions permite a los usuarios extraer datos de otras nubes Solr, utilizando un parámetro "zkHost". Cuando SolrCloud original está configurado para usar las credenciales y ACL de ZooKeeper, se enviarán a cualquier "zkHost" que proporcione el usuario. Un atacante podría configurar un servidor para simular ZooKeeper, que acepte solicitudes de ZooKeeper con credenciales y ACL y extraiga la información confidencial, luego envíe una expresión de transmisión usando la dirección del servidor simulado en "zkHost". Las expresiones de transmisión se exponen a través del controlador "/streaming", con permisos de "lectura". Se recomienda a los usuarios actualizar a la versión 8.11.3 o 9.4.1, que soluciona el problema. A partir de estas versiones, solo los valores de zkHost que tengan la misma dirección de servidor (independientemente de chroot) utilizarán las credenciales y ACL proporcionadas de ZooKeeper al conectarse.