کشف سه آسیب‌پذیری در Splunk

سه آسیب‌پذیری به شناسه‌های CVE-2024-45733، CVE-2024-45732، CVE-2024-45731 با شدت بالا در Splunk شناسایی شده ‌است ، که این امکان را برای مهاجم احراز هویت نشده فراهم می‌کند با اجرای کد مخرب به سطح دسترسی برسد و از سیستم بهره‌برداری کند.  

 

شناسه CVE-2024-45731: این آسیب‌پذیری با شدت 8.0 (بالا) در نسخه های قدیمی تر Splunk Enterpriseکشف شده است، برای ویندوز قبل از( 9.3.1، 9.2.3 و 9.1.6)، است و به کاربران با سطح دسترسی پایین‌تر admin-power اجازه می‌دهد فایل‌ها را در دایرکتوری ریشه سیستم ویندوز (معمولاً در پوشه Windows\ System32 ) ایجاد کنند. این نقص امنیتی زمانی رخ می‌دهد که Splunk Enterprise در درایو جداگانه‌ای نصب شده باشد.

 

شناسه CVE-2024-45732: این آسیب‌پذیری با شدت 7.1(بالا) در نسخه های قدیمی تر Splunk Cloud Platform و Splunk Enterprise قبل از ( 9.3.1، 9.2.3، 9.2.2403.103، 9.1.2312.200، 9.1.2312.110 و 9.1.2308.208) کشف شده است. که به کاربران با سطح دسترسی پایین تر از admin یا power این اجازه را می‌دهد با استفاده از برنامه SplunkDeploymentServerConfig، با جستجو به عنوان کاربر "nobody" اجرا کنند.

 

شناسه CVE-2024-45733: این آسیب‌پذیری با شدت 8.8(بالا)  در نسخه های قدیمی تر از 9.2.3 و 9.1.6 کشف شده است که به مهاجمان با سطح دسترسی پایین‌تر از (admin یا power) این اجازه را می‌دهد با بهره‌برداری از پیکربندی نادرست ذخیره‌سازی جلسات، کد دلخواه خود را بر روی سیستم اجرا کنند و دسترسی کامل سیستم برسند.



محصولات تحت تاثیر و توصیه های امنیتی  

 

 

• Splunk Enterprise

 

 

 

 

 

• Splunk Cloud Platform

 

 

 

منابع خبر:

 

 

[1] https://advisory.splunk.com/advisories/SVD-2024-1003

[2] https://research.splunk.com/application/c97e0704-d9c6-454d-89ba-1510a987bf72/

[3] https://advisory.splunk.com/advisories/SVD-2024-1002

[4] https://research.splunk.com/application/f765c3fe-c3b6-4afe-a932-11dd4f3a024f/

[5] https://advisory.splunk.com/advisories/SVD-2024-1001

[6] https://research.splunk.com/application/c97e0704-d9c6-454d-89ba-1510a987bf72/