Splunk 修复企业产品中的多个高危漏洞

其中3个是高危的远程代码执行漏洞，需要认证才能成功利用。第1个漏洞是CVE-2024-36985，可被低权限用户通过可能引用 “splunk_archiver” 应用的查询利用。该漏洞影响 Splunk Enterprise 9.2.x、9.1.x和9.0.x版本。9.2.29.1.5和9.0.10版本修复了该漏洞。也可通过禁用 “splunk_archiver” 应用的方式缓解该漏洞。

第二个RCE漏洞影响 Windows 版本的 Splunk Enterprise，编号为CVE-2024-36984，可导致认证攻击者执行构造的查询，序列化不可信数据并执行任意代码。

Splunk 公司提到，“利用要求使用 collect SPL 命令，在 Splunk Enterprise 安装程序中写文件。攻击者随后可利用该文件提交序列化的payload，从而在 payload 内执行代码。”

第三个RCE漏洞影响 Enterprise 和 Cloud Platform 产品中的仪表盘 PDF 生成组件，因为它使用了一个易受攻击的 ReportLab Toolkit (v3.6.1) Python 库。

Splunk 还修复了位于 Enterprise 和 Cloud Platform 产品中的一个高危命令注入漏洞，可导致认证用户创建一个调用遗留内部函数的外部查询，并在 Splunk 平台的安装目录中插入代码。

Splunk 公司解释称，“该漏洞与现已弃用的 ‘runshellscript’ 命令有关。该命令和外部命令查询可导致认证用户利用该漏洞在 Splunk 平台实例的权限上下文中注入和执行命令。”

余下的高危漏洞还包括 Windows 上 Splunk Enterprise 中的路径遍历漏洞以及 Enterprise 和 Cloud Platform 产品中的拒绝服务漏洞。

此外，Splunk还在本周一修复了影响 Enterprise 和 Cloud Platform 产品中的多个中危漏洞。

Splunk 公司并未提到上述漏洞是否已遭在野利用。Splunk 公司还在安全公告页面提供了更多信息。本周一，该公司还宣布修复了位于 Splunk Enterprise 中多个第三方包中的近24个漏洞，并通知 Linux上的 Splunk Enterprise和Solaris 上的Universal Forwarder用户，在某些版本和架构中，OpenSSL 的加密库被错误编译。