Allvarliga sårbarheter i Splunk
Flera allvarliga sårbarheter upptäckts i Splunk Enterprise. Om de utnyttjas kan det medföra att en angripare kan fjärrköra godtycklig kod i sårbara system. [1]
De mest kritiska sårbarheterna har båda fått CVSS-klassning 8,8 av 10:
CVE-2024-36984 kan medföra att en autentiserad användare kan köra särskilda anrop för att serialisera opålitlig data och på så sätt kunna fjärrköra godtycklig kod i sårbara system. [2]
CVE-2024-36985 kan möjliggöra för en lågprivilegierad användare som inte har rollerna “admin” eller “power” att fjärrköra godtycklig kod genom en extern uppslagning som refererar till applikationen “splunk_archiver”. Den innehåller olika arkiveringsskript i Splunk och i ett av dessa återfinns sårbarheten som kan resultera i fjärrkörning av godtycklig kod. [3]
En uppdatering som rättar sårbarheterna finns tillgänglig. [1]
Påverkade produkter
Splunk Enterprise (versionerna 9.0.x, 9.1.x och 9.2.x)
Rekommendationer
CERT-SE rekommenderar att installera säkerhetsuppdateringarna så snart som möjligt. Om det inte är möjligt att uppdatera i närtid rekommenderas att följa leverantörens förslag på mitigerande åtgärder.
Källor
[1] https://advisory.splunk.com/advisories