سه آسیبپذیری به شناسههای CVE-2024-45733، CVE-2024-45732، CVE-2024-45731 با شدت بالا در Splunk شناسایی شده است ، که این امکان را برای مهاجم احراز هویت نشده فراهم میکند با اجرای کد مخرب به سطح دسترسی برسد و از سیستم بهرهبرداری کند.
شناسه CVE-2024-45731: این آسیبپذیری با شدت 8.0 (بالا) در نسخه های قدیمی تر Splunk Enterpriseکشف شده است، برای ویندوز قبل از( 9.3.1، 9.2.3 و 9.1.6)، است و به کاربران با سطح دسترسی پایینتر admin-power اجازه میدهد فایلها را در دایرکتوری ریشه سیستم ویندوز (معمولاً در پوشه Windows\ System32 ) ایجاد کنند. این نقص امنیتی زمانی رخ میدهد که Splunk Enterprise در درایو جداگانهای نصب شده باشد.
شناسه CVE-2024-45732: این آسیبپذیری با شدت 7.1(بالا) در نسخه های قدیمی تر Splunk Cloud Platform و Splunk Enterprise قبل از ( 9.3.1، 9.2.3، 9.2.2403.103، 9.1.2312.200، 9.1.2312.110 و 9.1.2308.208) کشف شده است. که به کاربران با سطح دسترسی پایین تر از admin یا power این اجازه را میدهد با استفاده از برنامه SplunkDeploymentServerConfig، با جستجو به عنوان کاربر "nobody" اجرا کنند.
شناسه CVE-2024-45733: این آسیبپذیری با شدت 8.8(بالا) در نسخه های قدیمی تر از 9.2.3 و 9.1.6 کشف شده است که به مهاجمان با سطح دسترسی پایینتر از (admin یا power) این اجازه را میدهد با بهرهبرداری از پیکربندی نادرست ذخیرهسازی جلسات، کد دلخواه خود را بر روی سیستم اجرا کنند و دسترسی کامل سیستم برسند.
محصولات تحت تاثیر و توصیه های امنیتی
- Splunk Enterprise
- Splunk Cloud Platform
منابع خبر:
[1] https://advisory.splunk.com/advisories/SVD-2024-1003
[2] https://research.splunk.com/application/c97e0704-d9c6-454d-89ba-1510a987bf72/
[3] https://advisory.splunk.com/advisories/SVD-2024-1002
[4] https://research.splunk.com/application/f765c3fe-c3b6-4afe-a932-11dd4f3a024f/
[5] https://advisory.splunk.com/advisories/SVD-2024-1001
[6] https://research.splunk.com/application/c97e0704-d9c6-454d-89ba-1510a987bf72/
- 156