CVE-2024-31391 in Solr OperatorИнформация

Сводка

по VulDB • 28.05.2026

Уязвимость вставки конфиденциальной информации в файл журнала (Log File) в Apache Solr Operator.

Эта проблема затрагивает все версии Apache Solr Operator от 0.3.0 до 0.8.0 включительно.

При инициализации безопасности Solr оператор включает базовую аутентификацию и создает несколько учетных записей для доступа к Solr: включая учетные записи «solr» и «admin», предназначенные для использования конечными пользователями, а также учетную запись «k8s-oper», которую оператор использует для собственных запросов к Solr. Одним из распространенных источников таких запросов оператора являются проверки работоспособности (healthchecks): для определения состояния Solr и его способности принимать трафик используются проверки liveness, readiness и startup. По умолчанию оператор настраивает API Solr, используемые для этих проверок, так, чтобы они были освобождены от аутентификации, однако пользователи могут явно потребовать, чтобы аутентификация требовалась и для конечных точек проверок. В случае сбоя любой из этих проверок, если используется аутентификация, Solr Operator создает событие Kubernetes («event»), содержащее имя пользователя и пароль учетной записи «k8s-oper».

В затронутом диапазоне версий эта уязвимость влияет на любой ресурс solrcloud, который (1) инициализировал безопасность с помощью параметра `.solrOptions.security.authenticationType=basic`, и (2) требовал использования аутентификации для проверок путем установки параметра `.solrOptions.security.probesRequireAuth=true`.

Пользователям рекомендуется обновиться до версии Solr Operator 0.8.1, которая устраняет эту проблему, обеспечивая, чтобы проверки больше не выводили учетные данные, используемые для запросов к Solr. Пользователи также могут смягчить последствия уязвимости, отключив аутентификацию для своих проверок работоспособности с помощью параметра `.solrOptions.security.probesRequireAuth=false`.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Резервировать

02.04.2024

Раскрытие

12.04.2024

Модерация

принято

Вход

VDB-260542

EPSS

0.00847

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!