CVE-2026-44825
Alvorlig

CVE-2026-44825: Kritisk sårbarhed i Apache Solr

Apache Solr indeholder hemmelige standardadgangskoder, der giver angribere fuld administratoradgang til din søgemaskine.

CVSS Score
8.1
Offentliggjort
01/06/2026
Patch-status
in_development
Exploit
poc_public
Tidsfrist
Afhjælp inden for 48 timer

Hvad er det?

Apache Solr er en populær open source-søgeplatform, som mange virksomheder bruger til at søge i store mængder data. Denne sårbarhed betyder, at når du aktiverer adgangskodebeskyttelse via det indbyggede opsætningsværktøj (bin/solr auth enable), installeres der automatisk og lydløst en række ekstra standardbrugere med kendte adgangskoder — udover den bruger, du selv opretter. Disse skjulte brugere er kendte af offentligheden, og en angriber kan bruge dem til at logge ind med fuld administratoradgang. Problemet skyldes hårdkodede legitimationsoplysninger (dvs. brugernavne og adgangskoder der er fast indlejret i programkoden).

Hvem rammer det?

Sårbarheden rammer dig, hvis:

  • Du kører Apache Solr i version 9.4.0 til og med 9.10.1, eller version 10.0.0.
  • Du har brugt kommandoen bin/solr auth enable til at slå Basic Authentication (adgangskodebeskyttelse) til.
  • Du efterfølgende ikke har ændret adgangskoderne på standardbrugerne (superadmin, admin, search, index) i filen security.json.

Har du aldrig aktiveret Basic Authentication via dette værktøj, eller har du allerede ændret standardbrugernes adgangskoder til stærke, unikke adgangskoder, er du ikke berørt.

Hvad kan ske?

En angriber, der kender de offentligt kendte standardadgangskoder, kan logge ind på din Solr-installation med fuld administratoradgang — uden at have brug for nogen særlige forhåndstilladelser. Det betyder, at angriberen kan:

  • Læse alle data i din søgeindeks, herunder potentielt kundeoplysninger, produktdata eller interne dokumenter.
  • Ændre eller slette data i indekset og derved ødelægge din søgefunktion eller forfalske resultater.
  • Gøre systemet utilgængeligt (nedlægge servicen) for dine brugere eller kunder.
  • Potentielt anvende Solr som et springbræt til andre systemer på dit netværk.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8.1 ud af 10 (Alvorlig) af den internationale CVSS-skala. Angrebet kan udføres over internettet uden forudgående adgang eller særlige rettigheder, og det kompromitterer fortrolighed, integritet og tilgængelighed fuldt ud. Den eneste faktor der begrænser scoren en smule er, at angrebet kræver en vis teknisk kompleksitet at gennemføre. De underliggende svagheder (CWE-798 og CWE-1188) dækker henholdsvis hårdkodede legitimationsoplysninger og usikre standardindstillinger — begge er velkendte angrebsmønstre som angribere aktivt søger efter.

Hvad gør jeg nu?

Du bør handle hurtigt. Her er, hvad du konkret skal gøre:

  1. Find ud af, om du er berørt: Tjek om du kører Solr 9.4.0–9.10.1 eller 10.0.0, og om du har brugt bin/solr auth enable til at opsætte adgangskodebeskyttelse.
  2. Øjeblikkelig afhjælpning (uden opgradering): Åbn filen security.json i din Solr-installation og slet eller skift adgangskoderne på standardbrugerne: superadmin, admin, search og index. Brug stærke, unikke adgangskoder.
  3. Opgrader Solr: Så snart version 9.11.0 eller 10.1.0 udgives, opgradér din installation. Disse versioner vil ikke indeholde sårbarheden.
  4. Begræns netværksadgang: Hvis Solr ikke behøver at være tilgængelig fra internettet, så sørg for at begrænse adgangen via firewall til kun de systemer, der har brug for det.
  5. Gennemgå adgangslogge: Tjek om der har været mistænkelige login-forsøg eller adgang med standardbrugernavne på din installation.
Tidsfrist

Afhjælp inden for 48 timer

Sådan ser Auroa det

Da de kendte standardadgangskoder er offentligt tilgængelige, er risikoen for aktivt misbrug reel og umiddelbar. Vi anbefaler, at du straks sletter eller ændrer standardbrugerne i security.json — det er en hurtig handling, der effektivt lukker hullet, mens du venter på en officiel opdatering. Planlæg desuden en opgradering til version 9.11.0 eller 10.1.0 så snart de frigives. Kontakt os, hvis du har brug for hjælp til at gennemføre disse trin sikkert.

Tidslinje

01/06/2026
CVE offentliggjort
CVE-2026-44825 blev offentliggjort i National Vulnerability Database med en CVSS-score på 8.1 (Alvorlig). Sårbarheden i Apache Solrs Basic Authentication-opsætningsværktøj blev dermed gjort officielt kendt.
01/06/2026
Standardadgangskoder offentligt kendte
Med CVE-offentliggørelsen blev det bekræftet, at standardbrugernavne og -adgangskoder (superadmin, admin, search, index) er alment kendte. Enhver angriber kan fra dette tidspunkt forsøge at udnytte dem mod sårbare installationer.
01/06/2026
Midlertidig afhjælpning frigivet
Apache udgav en officiel vejledning til øjeblikkelig afhjælpning: slet eller skift adgangskoderne på standardbrugerne i security.json. Dette kan gennemføres uden at opgradere Solr-versionen.
12/06/2026
Officiel patch forventet i v9.11.0 og v10.1.0
Apache har bekræftet, at de kommende versioner 9.11.0 og 10.1.0 vil løse problemet fuldstændigt. Præcis udgivelsesdato er ikke annonceret på tidspunktet for CVE-offentliggørelsen.

Konkrete eksempler

Direkte login med standardadgangskode

En angriber scanner internettet efter Solr-installationer på standardporten 8983 og finder din virksomheds server. Ved at prøve det kendte standardbrugernavn superadmin med den hårdkodede adgangskode opnår angriberen fuld administratoradgang på få sekunder — uden at skulle knække nogen kode. Derfra kan angriberen læse alle data i søgeindekset, herunder kundeoplysninger eller interne dokumenter.

Datasletning og sabotage af søgefunktion

En konkurrent eller ondsindet aktør logger ind via standardbrugeren admin og sletter eller ødelægger dine søgeindekser. For en webshop betyder det, at kunderne ikke længere kan søge i produkter, hvilket direkte påvirker salget. Genetableringen kan tage dage, hvis der ikke er taget backup.

Solr som springbræt ind i interne systemer

Hvis din Solr-server ligger på et internt netværk og er forbundet til andre systemer — fx en database eller et filsystem — kan en angriber, der har opnået administratoradgang til Solr, bruge denne adgang til at forsøge at bevæge sig videre til andre interne systemer. Det kan i værste fald føre til et bredere databrud eller ransomware-angreb på virksomhedens øvrige infrastruktur.

Ofte stillede spørgsmål

Ramte produkter

Apache — Solr

≥ 9.4.0, ≤ 9.10.1

Apache — Solr

10.0.0

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-798
CWE-1188

Original NVD-beskrivelse (engelsk)

Hardcoded credentials in the Basic Authentication setup tool (bin/solr auth enable) in Apache Solr versions 9.4.0 through 9.10.1 and 10.0.0 allows a remote attacker to gain full administrative access to the cluster via publicly known default credentials installed silently alongside the user-specified account.

As an immediate workaround without upgrading, delete the template users (superadmin, admin, search, index) from security.json or change their passwords.
The future, not yet released, versions 9.11.0 and 10.1.0 will not be vulnerable, and it will be enough to upgrade to solve the issue.

Not affected:
* Clusters where bin/solr auth enable was not used to bootstrap BasicAuth
* Clusters where template users have been assigned strong passwords after bootstrap

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-44825
Offentliggjort
01/06/2026
Sidst opdateret
01/06/2026
Exploit-status
poc_public
Patch-status
in_development
Tidsfrist
Afhjælp inden for 48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.