CVE-2024-31391 in Solr Operatorالمعلومات

الملخص

بحسب VulDB • 09/06/2026

ثغرة إدراج معلومات حساسة في ملف السجل (Log File) في مشغل Apache Solr Operator.

تؤثر هذه المشكلة على جميع إصدارات مشغل Apache Solr من الإصدار 0.3.0 حتى الإصدار 0.8.0.

عند طلب تهيئة أمان Solr، يقوم المشغل بتمكين المصادقة الأساسية (basic authentication) وإنشاء عدة حسابات للوصول إلى Solr: بما في ذلك حسابتا "solr" و "admin" المستخدمتان من قبل المستخدمين النهائيين، وحساب "k8s-oper" الذي يستخدمه المشغل لطلباته الخاصة إلى Solr. يعد فحص الصحة (healthchecks) أحد المصادر الشائعة لهذه الطلبات التي يقوم بها المشغل: حيث تُستخدم مسوحات الحالة (liveness)، والاستعداد (readiness)، والبدء (startup probes) جميعها لتحديد صحة Solر وقدرته على تلقي حركة المرور. بشكل افتراضي، يضبط المشغل واجهات برمجة التطبيقات APIs الخاصة بـ Solr المستخدمة لهذه المسوحات لتكون معفاة من المصادقة، ولكن قد يطلب المستخدمون صراحةً اشتراط المصادقة على نقاط نهاية (endpoints) هذه المسوحات أيضاً.

في حال فشل أي من هذه المسوحات، وإذا كانت المصادقة قيد الاستخدام، فإن مشغل Solr سينشئ "حدثاً" في Kubernetes يحتوي على اسم مستخدم وكلمة مرور حساب "k8s-oper".

ضمن نطاق الإصدارات المتأثرة، تؤثر هذه الثغرة على أي مورد solrcloud قام (1) بتهيئة الأمان باستخدام خيار `.solrOptions.security.authenticationType=basic`، و(2) اشتراط استخدام المصادقة في المسوحات عن طريق تعيين `.solrOptions.security.probesRequireAuth=true`.

يُنصح المستخدمون بالترقية إلى إصدار مشغل Solr 0.8.1، الذي يصلح هذه المشكلة من خلال ضمان عدم طباعة بيانات الاعتماد المستخدمة لطلبات Solر بعد الآن. يمكن للمستخدمين أيضاً التخفيف من حدة الثغرة عن طريق تعطيل المصادقة على مسوحات فحص الصحة الخاصة بهم باستخدام الإعداد `.solrOptions.security.probesRequireAuth=false`.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

حجز

02/04/2024

إفشاء

12/04/2024

الاعتدال

تمت الموافقة

إدخال

VDB-260542

EPSS

0.00847

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!