Splunk Enterprise Windows路径遍历漏洞（CVE-2024-36991）

2024年7月2日19:30:01评论6 views字数 1888阅读6分17秒阅读模式

一、漏洞概述

漏洞名称	Splunk Enterprise Windows路径遍历漏洞
CVE ID	CVE-2024-36991
漏洞类型	路径遍历	发现时间	2024-07-02
漏洞评分	7.5	漏洞等级	高危
攻击向量	网络	所需权限	无
利用难度	低	用户交互	无
PoC/EXP	未公开	在野利用	未发现

Splunk Enterprise是一款专业的数据分析软件，能够对采样的数据以及统计图做出专业分析，支持跨平台使用，常用于金融、IT、财务等多个领域。

2024年7月2日，启明星辰集团VSRC监测到Splunk Enterprise中修复了一个路径遍历漏洞（CVE-2024-36991），该漏洞的CVSS评分为7.5。

Windows 上Splunk Enterprise 9.2.2、9.1.5 和 9.0.10之前版本中存在路径遍历漏洞，由于Python os.path.join函数在处理Windows路径时存在安全问题，未经身份验证的远程威胁者可对Splunk Enterprise（Windows上运行且已启用Splunk Web）中的/modules/messaging/端点执行路径遍历攻击，成功利用可能导致信息泄露。

此外，Splunk还修复了以下多个高危漏洞：

CVE-2024-36985：由于Splunk Enterprise中splunk_archiver应用程序中的copybuckets.py脚本，低权限威胁者可通过外部查找导致远程代码执行。

CVE-2024-36984：经过身份验证的威胁者可通过Windows上的 Splunk Enterprise 中的序列化会话Payload导致任意代码执行。

CVE-2024-36983：经过身份验证的威胁者可使用外部查找进行命令注入。

CVE-2024-36982：未经身份验证的远程威胁者可通过cluster/config REST端点上触发空指针引用，导致 Splunk守护进程崩溃，造成拒绝服务。

二、影响范围

Splunk Enterprise 9.2版本：9.2.0 - 9.2.1

Splunk Enterprise 9.1版本：9.1.0 - 9.1.4

Splunk Enterprise 9.0版本：9.0.0 - 9.0.9

Splunk Cloud Platform 9.1.2312版本：9.1.2312.100 - 9.1.2312.108

Splunk Cloud Platform 9.1.2308版本< 9.1.2308.207

三、安全措施

3.1 升级版本

目前该漏洞已经修复，受影响用户可升级到Splunk Enterprise 9.2.2、9.1.5、9.0.10 或更高版本；Splunk Cloud Platform 9.1.2312.109、9.1.2308.207或更高版本。

下载链接：

https://www.splunk.com/en_us/products/splunk-enterprise.html

3.2 临时措施

针对CVE-2024-36991：

该漏洞已知影响Windows上的 Splunk Enterprise。

此外，该漏洞会影响已启用Splunk Web 的实例，如果 Splunk Enterprise 实例未运行 Splunk Web则不易受该漏洞影响。如非必要，受影响用户可通过关闭 Splunk Web 作为一种缓解措施，详情可参考禁用不必要的 Splunk Enterprise 组件和web.conf配置规范文件。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://advisory.splunk.com/advisories/SVD-2024-0711

https://research.splunk.com/application/e7c2b064-524e-4d65-8002-efce808567aa/

https://advisory.splunk.com/advisories/SVD-2024-0704

https://advisory.splunk.com/advisories/SVD-2024-0702

原文始发于微信公众号（启明星辰安全简讯）：【漏洞通告】Splunk Enterprise Windows路径遍历漏洞（CVE-2024-36991）

左青龙
微信扫一扫

右白虎
微信扫一扫

Splunk Enterprise Windows路径遍历漏洞（CVE-2024-36991）

二、影响范围

三、安全措施

3.1 升级版本

3.2 临时措施

3.3 通用建议

3.4 参考链接

新型勒索爆发！最新勒索软件LukaLocker对抗调查有新招

2024 年第一季度工业自动化系统的威胁形势

日本动漫游戏巨头遭勒索软件攻击，泄露数据多达 1.5TB

CocoaPods中的漏洞:苹果应用生态系统的致命弱点

Gartner发布应用和数据本地化战略对网络安全的三大影响

【漏洞通告】Splunk Enterprise多个高危漏洞安全风险通告

【漏洞通告】Apache HTTP Server多个高危漏洞安全风险通告

【漏洞通告】FFmpeg缓冲区溢出漏洞安全风险通告

CNNVD通报OpenSSH安全漏洞情况

【漏洞情报】OpenSSH Server远程代码执行漏洞（CVE-2024-6387）安全风险通告

发表评论

在线咨询

微信