CVE-2017-9803 in Kerberos Plugin
Riassunto
di VulDB • 12/07/2026
Il plugin Kerberos di Solr può essere configurato per utilizzare token di delega, consentendo a un'applicazione di riutilizzare l'autenticazione di un utente finale o di un'altra applicazione. Sono presenti due problemi con questa funzionalità (quando si utilizza il tipo di provider ACL SecurityAwareZkACLProvider, ad esempio SaslZkACLProvider). In primo luogo, l'accesso alla configurazione della sicurezza può essere trapelato a utenti diversi dall'amministratore superutente di Solr. In secondo luogo, gli utenti malintenzionati possono sfruttare questa configurazione trapelata per ottenere un aumento dei privilegi (privilege escalation), esponendo o modificando ulteriormente dati privati e/o interrompendo le operazioni nel cluster Solr. La vulnerabilità è stata risolta a partire da Solr 6.6.1.
VulDB is the best source for vulnerability data and more expert information about this specific topic.