یک آسیبپذیری بحرانی با شناسه CVE-2022-32158 و شدت 10 از 10 در محصول Splunk-Enterprise-Deployment-Server نسخه پیش از 9.0 وجود دارد که بهرهبرداری از آن میتواند منجر به اجرای کد از راه دور در کلیه نقاط پایانی Universal-Forwarder که بخشی از Deployment-Server هستند، توسط مهاجم شود.
مفهوم Splunk-Enterprise-Deployment-Server به یک سرور Splunk-Enterprise اشاره دارد که برای تعدادی از کلاینتها که Deployment-Clients نامیده میشوند، به عنوان مدیر پیکربندی متمرکز عمل میکند.
آسیبپذیری مذکور مربوط به ارسال دادههای Universal در اسپلانک است و از این روش برای ارسال دادههای ضروری میان Splunk-Enterpriseهای مختلف استفاده میشود. با استفاده از این آسیبپذیری، به کلاینتها امکان ارسال بستههای Forwarder به سایر کلاینتها از طریق Deployment-Server داده میشود (در نسخههای پیش از 8.1.10.1، 8.2.6.1 و 9.0).
در حال حاضر تنها راه وصله کردن این آسیبپذیری بهروزرسانی Splunk-Enterprise-Deployment-Servers به نسخه 9.0 است.
منابع:
https://www.splunk.com/en_us/product-security/announcements/svd-2022-0608.html
https://nvd.nist.gov/vuln/detail/CVE-2022-32158
https://cve.report/CVE-2022-32158
https://www.tenable.com/cve/CVE-2022-32158
https://community.splunk.com/t5/Getting-Data-In/vulnerability-CVE-2022-32158-16-06-2022-versions-be…
https://www.cve.org/CVERecord?id=CVE-2022-32158
https://vuldb.com/?id.202139
- 133