Apache Solr是一个独立的企业级搜索应用服务器，它对外提供类似于Web-service的API接口。用户可以通过http请求，向搜索引擎服务器提交一定格式的XML文件，生成索引；也可以通过Http Get操作提出查找请求，并得到XML格式的返回结果。 由于Solr5.0.0 ~ 5.5.5、6.0.0 ~ 6.6.5版本存在反序列化攻击，由于ConfigAPI允许设置一个jmx.serviceUrl，它将创建一个新的JMXConnectorServerFactory并使用“ bind”操作触发对目标RMI/LDAP服务器的调用。恶意的RMI服务器可能会响应任意对象，这些对象将使用Java的ObjectInputStream在Solr端反序列化。如果存在该漏洞，可选择其中一项即可阻止该漏洞，如：1.升级到Apache Solr 7.0或更高版本；2.如果不使用，请通过使用系统属性disable.configEdit = true运行Solr禁用ConfigAPI;3.如果升级或禁用Config API都不可行，请应用SOLR-13301.patch并重新编译Solr。4.确保配置了网络设置，以便仅允许受信任的流量进/出运行Solr的主机。

选择其中一项即可阻止该漏洞，如：1.升级到Apache Solr 7.0或更高版本；2.如果不使用，请通过使用系统属性disable.configEdit = true运行Solr禁用ConfigAPI;3.如果升级或禁用Config API都不可行，请应用SOLR-13301.patch并重新编译Solr。4.确保配置了网络设置，以便仅允许受信任的流量进/出运行Solr的主机。