CVE-2026-44825: Apache Solr — bin/solr auth enable legt heimlich vier Default-Nutzer mit öffentlich bekannten Passwörtern an
2. Juni 2026. Apache Solr hat mit CVE-2026-44825 eine Lücke im BasicAuth-Setup offengelegt: Wer in Solr 9.4.0–9.10.1 oder 10.0.0 die Basic Authentication über bin/solr auth enable einrichtet, bekommt neben dem selbst gewählten Konto still vier zusätzliche Template-Nutzer (superadmin, admin, search, index) mit öffentlich bekannten Default-Passwörtern in die security.json geschrieben. Ein Angreifer mit Netzzugang zum Solr-Endpoint kann sich mit diesen bekannten Zugangsdaten anmelden und erhält vollen administrativen Zugriff auf den Cluster — Konfiguration ändern, alle Indizes lesen, Daten exfiltrieren oder den Dienst stören. CVSS 8.1; der Fix kommt mit den kommenden Versionen 9.11.0 und 10.1.0, der Sofort-Workaround ist das Löschen oder Neu-Passworten der Template-Nutzer in der security.json.
TL;DR — die 90-Sekunden-Zusammenfassung
- Was wurde veröffentlicht?
CVE-2026-44825 (Apache Solr, 01.06.2026). Klasse: unsichere Default-Konfiguration / hardcodierte Zugangsdaten. Mechanismus:
bin/solr auth enablebootstrappt BasicAuth und schreibt dabei neben dem vom Betreiber gewählten Konto vier Template-Nutzer (superadmin,admin,search,index) mit öffentlich bekannten Passwörtern in diesecurity.json.- Wie schwer?
Hoch — CVSS v3.1 8.1 (
AV:N/AC:H/PR:N/S:U/C:H/I:H/A:H), CWE-798 + CWE-1188. Reichweite: voller administrativer Zugriff auf den Solr-Cluster über bekannte Default-Konten. Eintrittsschwelle: BasicAuth wurde überbin/solr auth enableeingerichtet und der Solr-Endpoint ist für den Angreifer erreichbar.- Welche Solr-Versionen sind betroffen?
Apache Solr
9.4.0bis9.10.1sowie10.0.0. Behoben in den (zum Veröffentlichungszeitpunkt noch nicht freigegebenen) Versionen 9.11.0 und 10.1.0.- Bin ich als Moselwal-Kunde betroffen?
Betroffen sind Sie, wenn Sie eine Solr-Instanz im genannten Versionsbereich betreiben, deren BasicAuth über
bin/solr auth enableeingerichtet wurde — typisch bei TYPO3-Suchen überEXT:solrmit eigenem Solr-Host. Nicht betroffen: Cluster, die BasicAuth nie über dieses Tool gebootstrappt haben, oder bei denen die Template-Nutzer nachträglich starke Passwörter bekommen haben.- Sofort-Mitigation?
In die
security.jsonschauen und die Template-Nutzersuperadmin,admin,search,indexentweder entfernen oder mit starken, einzigartigen Passwörtern versehen. Parallel den Solr-Endpoint gegen das öffentliche Netz abschotten (er gehört ohnehin nie direkt ins Internet). Mittelfristig auf 9.11.0 / 10.1.0 heben, sobald verfügbar.- Kritikalität?
Siehe Hero-Badge
high(CVSS 8.1). Keine KEV-Aufnahme, EPSS sehr niedrig Stand 02.06. — aber öffentlich bekannte Default-Credentials senken die Exploit-Hürde drastisch, sobald der Endpoint erreichbar ist.
Was ist passiert
Apache Solr hat am 1. Juni 2026 CVE-2026-44825 veröffentlicht — einen Befund im Werkzeug, mit dem man die Basic Authentication aktiviert. Solr liefert dafür den CLI-Befehl bin/solr auth enable, der die Authentifizierung einrichtet und eine security.json mit den Zugangsdaten erzeugt. Der Betreiber gibt dabei ein eigenes Konto an und erwartet, dass genau dieses Konto angelegt wird.
Das Problem: In den Versionen 9.4.0 bis 9.10.1 und in 10.0.0 schreibt das Tool zusätzlich und ohne sichtbaren Hinweis vier Template-Nutzer in die security.json — superadmin, admin, search und index — mit Passwörtern, die fest im Tool hinterlegt und damit öffentlich bekannt sind. Diese Konten tragen administrative Rollen. Der Betreiber, der gerade BasicAuth eingeschaltet hat, um seinen Solr abzusichern, hat damit unbemerkt vier Hintertüren mit bekannten Schlüsseln mitinstalliert.
Die Folge ist direkt: ein Angreifer, der den Solr-Endpoint über das Netz erreicht, meldet sich mit einem der bekannten Template-Konten an und hat vollen administrativen Zugriff auf den Cluster. Er kann die Konfiguration ändern, alle Indizes lesen, Daten exfiltrieren oder den Dienst stören. Genau deshalb klassifiziert der CVE die Schwachstelle als Kombination aus CWE-798 (hardcodierte Zugangsdaten) und CWE-1188 (unsichere Default-Initialisierung): die Unsicherheit entsteht nicht durch einen Fehler des Betreibers, sondern durch das Default-Verhalten des Setup-Tools.
Der Workaround ist einfach und sofort umsetzbar: die vier Template-Nutzer aus der security.json löschen oder ihnen starke, einzigartige Passwörter geben. Die saubere Lösung sind die kommenden Versionen 9.11.0 und 10.1.0, die das Tool so korrigieren, dass es keine zusätzlichen Konten mehr anlegt; ein Upgrade dorthin genügt dann, um das Problem zu beheben.
Technische Einordnung
Strukturell ist CVE-2026-44825 ein Lehrstück über die Differenz zwischen „Authentifizierung aktiviert“ und „Authentifizierung sicher“. Das Setup-Tool tut auf den ersten Blick genau, was es soll: nach bin/solr auth enable verlangt Solr Zugangsdaten. Der Betreiber sieht einen Login-Prompt und hakt „abgesichert“ ab. Dass derselbe Schritt vier bekannte Konten mit installiert hat, ist im Normalbetrieb unsichtbar — es steht in der security.json, die kaum jemand nach dem Setup noch einmal Zeile für Zeile liest. Genau diese Unsichtbarkeit ist die Gefahr: die Lücke wird nicht durch eine Aktion geöffnet, sondern durch das Ausbleiben einer Aktion (niemand entfernt die Template-Nutzer, weil niemand von ihnen weiß).
Der zweite Punkt ist die Erreichbarkeit. Der CVSS-Vektor weist AV:N (Network) und PR:N (keine Privilegien nötig) aus, aber AC:H (hohe Angriffskomplexität) — letzteres, weil zwei Bedingungen zusammenkommen müssen: BasicAuth wurde über das verwundbare Tool gebootstrappt, und der Endpoint ist für den Angreifer erreichbar. Solr gehört nie direkt ins öffentliche Internet; in einer sauberen Architektur sitzt es hinter der Anwendung im internen Netz. Die unangenehme Realität ist aber, dass exponierte Solr-Instanzen seit Jahren ein wiederkehrender Fund bei Internet-Scans sind. Wer einen solchen exponierten Solr betreibt und BasicAuth „zur Sicherheit“ über das Tool eingeschaltet hat, hat die Tür mit bekanntem Schlüssel verschlossen.
Drittens, die TYPO3-Relevanz. Apache Solr ist im TYPO3-Ökosystem die verbreitete Such-Infrastruktur: die Extension EXT:solr (Apache Solr for TYPO3) bindet einen Solr-Host an, der die Inhalte indiziert. Viele Mittelstands-TYPO3-Installationen betreiben dafür eine eigene Solr-Instanz — teils als Docker-Container, teils als Paket auf einem Such-Host. Wenn diese Instanz im verwundbaren Versionsbereich liegt und BasicAuth über bin/solr auth enable eingerichtet wurde, ist sie betroffen. Der Index enthält dabei oft genau die Inhalte, die das CMS ausliefert — bei Intranets oder geschützten Bereichen also potenziell personenbezogene oder vertrauliche Daten.
Wer ist betroffen
| Betroffen | Nicht betroffen | Bedingung |
|---|---|---|
Apache Solr 9.4.0–9.10.1 und 10.0.0, deren BasicAuth über bin/solr auth enable eingerichtet wurde | Solr-Cluster, die BasicAuth nie über dieses Tool gebootstrappt haben (manuelle security.json, externer Auth-Proxy) | Art der BasicAuth-Einrichtung |
| Instanzen, deren Template-Nutzer noch die Default-Passwörter tragen | Instanzen, deren Template-Nutzer nachträglich starke Passwörter bekommen haben oder gelöscht wurden | Zustand der Template-Nutzer in security.json |
TYPO3-Stacks mit EXT:solr und eigenem Solr-Host im verwundbaren Versionsbereich | TYPO3-Stacks ohne Solr bzw. mit Solr außerhalb des Versionsbereichs oder ohne erreichbaren Endpoint | Solr-Einsatz und Versionsstand |
Die schnellste Antwort liefert ein Blick in die security.json: stehen dort die Nutzer superadmin, admin, search oder index, ohne dass Sie sie bewusst angelegt haben, ist die Instanz betroffen. Der Versionsstand ergänzt das (bin/solr version oder die Admin-UI).
Auswirkungen und Sofortmaßnahmen
Die Auswirkung ist ein vollständiger Admin-Takeover des Solr-Clusters über bekannte Zugangsdaten. Wer als superadmin oder admin eingeloggt ist, kontrolliert Konfiguration und Indizes — kann also Suchergebnisse manipulieren, indizierte Inhalte (inklusive geschützter) auslesen oder den Dienst lahmlegen. Bei TYPO3-Suchen, deren Index auch nicht-öffentliche Inhalte enthält, ist das datenschutzrelevant.
Operational Decision Block
- Sofort handeln, wenn: die Solr-Instanz im verwundbaren Versionsbereich liegt, über
bin/solr auth enableabgesichert wurde und über mehr als nurlocalhosterreichbar ist. - Kontrolliert im Wartungsfenster, wenn: die Instanz nur lokal an die Anwendung gebunden ist (kein Netzpfad für Dritte) — der Workaround bleibt Pflicht, der akute Hebel ist kleiner.
- Kein Solr-Druck, wenn: Sie kein Solr betreiben oder BasicAuth nie über das Tool eingerichtet haben — kurz die
security.jsongegenprüfen und abhaken.
In dieser Reihenfolge. Erstens, security.json prüfen und die Template-Nutzer superadmin, admin, search, index identifizieren. Zweitens, entfernen oder neu passworten: die Konten löschen oder ihnen starke, einzigartige Passwörter geben (und die Rollen prüfen). Drittens, Erreichbarkeit absichern: der Solr-Endpoint gehört ins interne Netz hinter die Anwendung, nicht ins öffentliche Internet — Firewall/Netzwerk-Policy entsprechend setzen. Viertens, Logs prüfen: Zugriffe der Template-Konten in den Solr-Request-Logs suchen (Login als superadmin/admin ist ein klares Signal, wenn Sie diese Konten nie selbst nutzen). Fünftens, mittelfristig auf 9.11.0 / 10.1.0 heben, sobald verfügbar.
Dieser Beitrag spiegelt unsere technische und strategische Einschätzung. Er ersetzt keine Rechtsberatung und keine Datenschutz-Folgenabschätzung.
Detection / Prüfung
Zwei Fragen: „habe ich die Template-Nutzer“ (Konfig-Frage) und „hat jemand sie benutzt“ (Log-Frage).
Prüf-Snippets (Copy/Paste):
# 1) Solr-Version feststellen
bin/solr version
# 2) security.json auf Template-Nutzer prüfen (Dateipfad je nach Setup)
grep -nE '"(superadmin|admin|search|index)"' /var/solr/data/security.json 2>/dev/null \
|| grep -nE '"(superadmin|admin|search|index)"' server/solr/security.json 2>/dev/null
# 3) Falls Solr läuft: Authentifizierungs-Config über die API lesen
curl -s -u <ihr-admin>:<pw> 'http://localhost:8983/solr/admin/authentication' | jq .
# 4) Request-Logs auf Logins der Template-Konten durchsuchen
grep -REn '(superadmin|admin|search|index)' server/logs/*.request.log 2>/dev/null
Was auffällig ist: das Vorhandensein der vier Konten in security.json, das Sie nicht selbst angelegt haben — sowie jeder erfolgreiche Request, der über eines dieser Konten authentifiziert wurde, falls Sie sie nie aktiv nutzen. Da die Default-Passwörter öffentlich bekannt sind, ist jeder Fremd-Login über diese Konten als Kompromittierung zu behandeln.
Betreiberempfehlung
Mittelstand
Für TYPO3-Betreiber mit EXT:solr ist der schnellste Schritt der Blick in die security.json des Solr-Hosts. Stehen dort die Template-Nutzer, entfernen oder neu passworten — das ist eine Minutenarbeit und schließt den Pfad sofort. Parallel sicherstellen, dass der Solr-Port (Standard 8983) nicht aus dem Internet erreichbar ist; in vielen Setups ist das die eigentlich gefährlichere Baustelle, unabhängig von diesem CVE.
Container / Kubernetes
Wer Solr als Container betreibt, prüft, ob die security.json aus einem Image, einem ConfigMap/Secret oder einem bin/solr auth enable-Init-Step stammt — und ob dieser Init-Step die Template-Nutzer mitbringt. Die Korrektur gehört in das Image bzw. das Secret, nicht in den laufenden Container; danach Pod neu ausrollen. Den Versionssprung auf 9.11.0 / 10.1.0 in die Image-Pflege aufnehmen, sobald die Releases da sind.
Hosting & Betrieb
Generell gilt für Solr: Authentifizierung ist die zweite Verteidigungslinie, Netz-Isolation die erste. Ein Solr, der nur intern an die Anwendung gebunden ist, ist auch mit Default-Konten nur von innen angreifbar. Die Kombination aus exponiertem Endpoint und bekannten Credentials ist der gefährliche Fall — und genau die Kombination, die dieser CVE adressiert.
Häufige Fragen zu CVE-2026-44825
Betrifft das auch SolrCloud-Setups?+
Ja — die security.json liegt im SolrCloud-Fall im ZooKeeper und gilt clusterweit. Der Workaround (Template-Nutzer entfernen/neu passworten) wird dort einmal zentral in ZooKeeper angewandt und wirkt für alle Knoten.
Sind meine indizierten Daten abgeflossen?+
Das lässt sich nur über die Logs beurteilen. Suchen Sie nach erfolgreichen Requests, die über superadmin/admin/search/index authentifiziert wurden, obwohl Sie diese Konten nie nutzen. Jeder solche Fremd-Login ist als Kompromittierung zu behandeln; ohne Logs ist im Zweifel von möglichem Zugriff auszugehen.
Ich habe BasicAuth manuell über eine eigene security.json eingerichtet — bin ich betroffen?+
Nicht über diesen Pfad. Die Lücke entsteht durch das bin/solr auth enable-Tool, das die Template-Nutzer hinzufügt. Eine manuell geschriebene security.json ohne diese Konten ist nicht betroffen — prüfen Sie sie trotzdem kurz auf die vier Namen.
Reicht es, den Solr-Port per Firewall zu schließen?+
Das reduziert das Risiko erheblich (ein nicht erreichbarer Endpoint kann nicht mit Default-Konten angegriffen werden), ersetzt aber nicht das Aufräumen der security.json. Interne Angreifer oder andere Workloads im selben Netz könnten die Konten weiterhin nutzen. Beides tun: Netz schließen und Template-Nutzer entfernen.
Muss ich auf 9.11.0 / 10.1.0 warten, um sicher zu sein?+
Nein. Der Workaround — die Template-Nutzer löschen oder ihnen starke Passwörter geben — schließt den Pfad sofort, auch ohne Upgrade. Das Upgrade ist die saubere Dauerlösung, sobald die Versionen verfügbar sind.
Wie prüfe ich, ob meine TYPO3-Solr-Instanz betroffen ist?+
In die security.json des Solr-Hosts schauen und auf die Nutzer superadmin, admin, search, index prüfen, die Sie nicht selbst angelegt haben — plus den Versionsstand (bin/solr version) gegen den Bereich 9.4.0–9.10.1 / 10.0.0 abgleichen. Beides zusammen beantwortet die Frage.
Fazit
CVE-2026-44825 ist kein Exploit-Feuerwerk, sondern die stille Variante des Risikos: ein Setup-Schritt, der „Sicherheit einschalten“ verspricht und dabei vier bekannte Schlüssel mit ausliefert, die niemand bewusst bestellt hat. Die Triage ist billig (ein Blick in die security.json), der Workaround ist ein Minuten-Job (Konten löschen oder neu passworten), und die Dauerlösung ist ein normales Upgrade auf 9.11.0 / 10.1.0. Die wichtigste Begleit-Lehre ist die alte: Solr gehört nie offen ins Internet — Netz-Isolation ist die erste Linie, Authentifizierung die zweite. Risiko nüchtern: hoch für exponierte, über das Tool abgesicherte Instanzen, gering für sauber isolierte — die security.json und die Firewall-Regel trennen die beiden Fälle in Minuten.
Quellen
- Apache Solr — Security (offizielle Advisory-Übersicht, CVE-2026-44825: bin/solr auth enable konfiguriert zusätzliche unsichere Nutzer)
- OpenCVE — CVE-2026-44825 (Beschreibung, CVSS v3.1 8.1 AV:N/AC:H/PR:N/S:U/C:H/I:H/A:H, CWE-798/CWE-1188, betroffene Versionen, Stand 01.06.2026)
- Apache Solr Wiki — SolrSecurity (Kontext zu BasicAuth und security.json)
