solr 远程命令执行漏洞复现 (CVE-2019-17558)

‍

名称: solr 远程命令执行 (CVE-2019-17558)

描述: Apache Velocity是一个基于Java的模板引擎，它提供了一个模板语言去引用由Java代码定义的对象。Velocity是Apache基金会旗下的一个开源软件项目，旨在确保Web应用程序在表示层和业务逻辑层之间的隔离（即MVC设计模式）。攻击者可借助自定义的Velocity模板功能，利用Velocity-SSTI漏洞在Solr系统上执行任意代码。

‍

影响版本：

Apache Solr 5.0.0版本至8.3.1

工具地址：

https://github.com/jas502n/solr_rce

使用方法：

python2 跟上利用脚本 跟上目标地址 跟上要执行的命令

​python2 solr_rce.py http://123.58.236.76:50847 id​

这个漏洞直接工具梭哈就完了

​​

‍