Splunk 存在远程代码执行漏洞漏洞

Splunk 是一家领先的数据分析和安全监控平台，它发布了一系列安全更新，以解决 Splunk Enterprise 和 Splunk Cloud Platform 中的多个漏洞。这些漏洞的严重程度各不相同，有些漏洞可导致远程代码执行 (RCE)，有些漏洞允许低权限用户访问敏感信息。

严重的 RCE 漏洞需要立即引起注意

最严重的漏洞包括 CVE-2024-45731 和 CVE-2024-45733，这两个漏洞都可能允许攻击者远程在易受攻击的系统上执行代码。CVE-2024-45731 特别影响在单独磁盘上安装 Splunk Enterprise 的 Windows 安装。利用此漏洞，攻击者可以将恶意 DLL 文件写入 Windows 系统根目录，从而可能导致系统完全被攻陷。CVE-2024-45733 源于不安全的会话存储配置，影响低于 9.2.3 和 9.1.6 版本的 Splunk Enterprise for Windows。

低权限用户构成重大威胁

多个漏洞使低权限用户获得未经授权的访问权限和能力。CVE-2024-45732 允许这些用户在 SplunkDeploymentServerConfig 应用程序中以“nobody”用户身份运行搜索，从而可能暴露受限制的数据。其他漏洞使低权限用户能够：

• 在主机上查看图像（CVE-2024-45734）

• 访问 Splunk 安全网关应用程序中的敏感配置数据(CVE-2024-45735)

• 导致 Splunk 守护进程崩溃（CVE-2024-45736）

• 操纵 App Key Value Store 的维护模式状态(CVE-2024-45737)

信息泄露和跨站点脚本 (XSS) 漏洞也得到解决

除了 RCE 和权限提升漏洞外，Splunk 还修补了可能导致敏感信息泄露的漏洞（CVE-2024-45738 和 CVE-2024-45739）和持久性跨站点脚本（CVE-2024-45740 和 CVE-2024-45741）。这些漏洞可能被利用来泄露敏感数据或将恶意脚本注入其他用户查看的网页。

Splunk 敦促用户立即更新

Splunk 已发布更新以解决这些漏洞，并强烈建议所有用户升级到最新的 Splunk Enterprise 和 Splunk Cloud Platform 版本。该公司还为无法立即更新的用户提供了缓解和解决方法。

请参阅Splunk 安全公告页面，获取受影响版本的完整列表和每个漏洞的详细信息

https://advisory.splunk.com/

原文始发于微信公众号（独眼情报）：Splunk 存在远程代码执行漏洞漏洞