ID CVE-2017-3164
Summary Server Side Request Forgery in Apache Solr, versions 1.3 until 7.6 (inclusive). Since the "shards" parameter does not have a corresponding whitelist mechanism, a remote attacker with access to the server could make Solr perform an HTTP GET request to any reachable URL.
References
Vulnerable Configurations
  • cpe:2.3:a:apache:solr:1.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:1.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:1.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:1.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:1.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:1.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:3.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:3.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:3.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:3.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:3.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:3.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:3.3:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:3.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:3.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:3.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:3.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:3.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:3.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:3.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:3.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:3.6.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:3.6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:3.6.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:3.6.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.0.0:-:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.0.0:-:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.0.0:alpha:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.0.0:alpha:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.0.0:beta:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.0.0:beta:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.6.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.7.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.7.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.7.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.8.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.8.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.8.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.8.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.9.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.9.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.9.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.9.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.10.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.10.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.10.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.10.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.10.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.10.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.10.3:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.10.3:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:4.10.4:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:4.10.4:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.3:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.5.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.5.3:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.5.4:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.5.4:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:5.5.5:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:5.5.5:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.6.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.6.2:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.6.2:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.6.3:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.6.3:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.6.4:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.6.4:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.6.5:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.6.5:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:6.6.6:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:6.6.6:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:7.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:7.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:7.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:7.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:7.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:7.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:7.2.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:7.2.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:7.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:7.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:7.3.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:7.3.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:7.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:7.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:7.4.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:7.4.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:7.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:7.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:apache:solr:7.6.0:*:*:*:*:*:*:*
    cpe:2.3:a:apache:solr:7.6.0:*:*:*:*:*:*:*
CVSS
Base: 5.0 (as of 09-12-2020 - 11:15)
Impact:
Exploitability:
CWE CWE-918
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
PARTIAL NONE NONE
cvss-vector via4 AV:N/AC:L/Au:N/C:P/I:N/A:N
refmap via4
bid 107026
confirm https://security.netapp.com/advisory/ntap-20190327-0003/
misc
mlist
  • [lucene-dev] 20190325 [jira] [Commented] (SOLR-12770) [CVE-2017-3164] Make it possible to configure a shards whitelist for master/slave
  • [lucene-dev] 20190327 [jira] [Commented] (SOLR-12770) [CVE-2017-3164] Make it possible to configure a shards whitelist for master/slave
  • [lucene-dev] 20190405 [jira] [Commented] (SOLR-12770) [CVE-2017-3164] Make it possible to configure a shards whitelist for master/slave
  • [lucene-dev] 20190405 [jira] [Updated] (SOLR-12770) [CVE-2017-3164] Make it possible to configure a shards whitelist for master/slave
  • [nifi-commits] 20191113 svn commit: r1869773 - /nifi/site/trunk/security.html
  • [nifi-commits] 20200123 svn commit: r1873083 - /nifi/site/trunk/security.html
  • [submarine-commits] 20201209 [GitHub] [submarine] QiAnXinCodeSafe opened a new issue #474: There is a vulnerability in Apache Solr 5.5.4,upgrade recommended
  • [www-announce] 20190212 [SECURITY] CVE-2017-3164 SSRF issue in Apache Solr
Last major update 09-12-2020 - 11:15
Published 08-03-2019 - 21:29
Last modified 09-12-2020 - 11:15
Back to Top