Apache Solr是一个开源搜索服务器，使用Java语言开发，主要基于HTTP和Apache Lucene实现。

漏洞详情
Apache Solr 是一款开源的搜索引擎，在Apache Solr受影响版本中，由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量，在默认无认证或具有metrics-read权限的情况下，攻击者可以通过向 metrics 端点发送恶意请求，从而获取到运行 Solr 实例的主机上的所有系统环境变量，导致敏感信息泄漏。

影响范围
9.0.0 <= Apache Solr < 9.3.0

漏洞复现


修复建议
目前该漏洞已经修复，受影响用户可升级到以下版本（其中环境变量不再通过Metrics API发布）：
Apache Solr >= 9.3.0
下载链接：
https://solr.apache.org/downloads.html

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。

参考链接
[1]https://issues.apache.org/jira/browse/SOLR-16808
[2]https://issues.apache.org/jira/browse/SOLR-15019