时间线
2022年12月9日 漏洞提交官方
2023年2月20日 官方拒绝修复
2025年06月24日
近日,国外安全研究员公开了一个Apache Solr的Velocity模板注入高危漏洞,利用该漏洞可攻击最新版本的Solr,目前该漏洞利用详情(EXP)已公开。公开的EXP可执行任意命令并自带回显。
一、漏洞情况
Apache Solr是一款由Java5语言编写且基于Lucene的企业级搜索应用服务器,它能够对外提供API接口并返回特定搜索结果,具有灵活高效的缓存和垂直搜索等功能,广泛应用于各大企业。
Apache Solr存在模板注入高危漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的HTTP请求,在受影响服务器上进行远程代码执行。
2025年06月24日
2019年10月31日,北京网络与信息安全信息通报中心公布了Apache Solr Velocity 模版存在注入远程命令执行漏洞,该漏洞可以直接在Apache Solr最新的8.2.0版本导致远程代码执行,影响范围包含全版本。Apache Solr是一个高性能的,采用Java5开发的,基于Lucene的企业级全文搜索服务器,由于其软件的开源属性,目前较多企业在使用Solr服务。对此网络与信息安全信息通报中心特组织技术单位对该漏洞进行了技术分析,现将具体漏洞情况、影响范围及安全工作提示汇总如下:
2025年06月24日
近日,我中心技术支撑单位监测发现Apache Solr全版本存在一个SSRF(服务器端请求伪造)与任意文件读取高危漏洞,攻击者利用该漏洞可读取系统任意文件。
2025年06月24日
谈到Hermes的索引技术,相信很多同学都会想到Solr、ElasticSearch。Solr、ElasticSearch真可谓是大名鼎鼎,是两个顶级项目,最近有些同学经常问我,“开源世界有Solr、ElasticSearch为什么还要使用Hermes?”
在回答这个问题之前,大家可以思考一个问题,既然已经有了Oracle、MySQL等数据库为什么大家还要使用ES下的Hive、Spark? Oracle和MySQL也有集群版,也可以分布式,那ES与Hive的出现是不是多余的?
2025年06月24日
近日,Apache Solr官方发布Apache Solr存在远程代码执行漏洞的公告,攻击者成功利用该漏洞可执行远程代码,漏洞编号:CVE-2019-0193,安全级别为“高危”。
一、漏洞情况
Apache Solr是一款开源、使用Java5语言开发的基于Lucene的全文搜索服务器,是独立的企业级搜索应用服务器。因其高效灵活的缓存功能、垂直搜索功能、高亮显示的搜索结果功能以及基于Web的管理界面等特性被广泛应用于企业中。
2025年06月24日
1安装部署
1.1单节点安装部署
本文使用SOLR 4.4.0版本作为研究对象,要求JDK 1.6,tomcat 6。
1.1.1下载
下载地址
http://archive.apache.org/dist/lucene/solr/4.4.0/,分别下载linux版本和windows版本,区别只是打包的方式不一样。
1.1.2部署
1.1.2.1Windows环境部署
2025年06月24日
据美通社4月5日报道,云搜索平台SearchStax推出新产品SearchStax Cloud Serverless,从根本上简化了云中Apache Solr工作负载的管理。
SearchStax Cloud Serverless提供快速、可扩展且经济高效的Solr服务,使Web和产品团队能够快速构建并自动扩展,同时优化资源利用率。
2025年06月24日
是一个实时分布式搜索和分析引擎;
是基于Apache Lucene 的开源搜索引擎,Lucene可以被认为迄今为止最先进,性能最好的,功能最全的搜索引擎库;