摘要：Apache Solr基于Velocity模板存在远程命令执行漏洞。该漏洞是由于Velocity模板存在注入所致。Apache Solr默认集成VelocityResponseWriter插件，在该插件的初始化参数中的params.resource.loader.enabled这个选项是用来控制是否允许参数资源加载器在Solr请求参数中指定模版，默认设置是false。当攻击者可以直接访问Solr控制台时，可以通过发送类似: solr/节点名/config的POST请求对该节点的配置文件做更改，把params.resource.loader.enabled设置为true（可加载指定资源），再构造GET请求，即可在服务器执行命令。 阅读全文

摘要：0x01 概述 Phpstudy软件是国内一款免费的PHP调试环境程序集成包，通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装，无需配置即可直接安装使用，具有PHP环境调试和PHP开发功能，在国内有着近百万PHP语言学习者、开发者用户 20 阅读全文