CVE-2026-44825 in Solr
요약
\~에 의해 VulDB • 2026. 06. 01.
Apache Solr 버전 9.4.0부터 9.10.1 및 10.0.0까지의 Basic Authentication 설정 도구(bin/solr auth enable)에 하드코딩된 자격 증명이 포함되어 있어, 원격 공격자가 사용자 지정 계정과 함께 silently 설치된 공개적으로 알려진 기본 자격 증명을 사용하여 클러스터에 대한 전체 관리자 권한을 탈취할 수 있습니다.
업그레이드 없이 즉시 적용 가능한 우회 방법은 security.json에서 템플릿 사용자(superadmin, admin, search, index)를 삭제하거나 해당 사용자의 비밀번호를 변경하는 것입니다.
향후 출시될 버전 9.11.0 및 10.1.0에서는 이 취약점이 존재하지 않으며, 해당 버전으로 업그레이드하면 문제가 해결됩니다.
영향 받지 않음: * bin/solr auth enable를 사용하여 BasicAuth를 부트스트랩하지 않은 클러스터 * 부트스트랩 후 템플릿 사용자에게 강력한 비밀번호가 할당된 클러스터
If you want to get best quality of vulnerability data, you may have to visit VulDB.