هشدار در خصوص آسیب‌پذیری موجود در Splunk Enterprise

بنا بر گزارش منتشر شده در وب‌سایت رسمی Splunk، آسیب‌پذیری با شدت 8.8 با شناسه CVE-2022-43571 در مولفه‌ی Dashboard PDF Generator، آسیب‌پذیری با شدت 8 با شناسه CVE-2022-43569 در مولفه‌ی Data Model Handler و آسیب‌پذیری با شدت 8.8 و شناسه CVE-2022-43570 در مولفه‌ی XML Handler مورد استفاده در Splunk Enterprise کشف شده است.

CVE-2022-43571 : این آسیب پذیری بر عملکرد بخشی از مولفه‌ی داشبورد ‌ PDF Generatorتاثیر می‌گذارد که دستکاری آن با یک ورودی ناشناخته از طریق اجرای کد دلخواه توسط یک کاربر تایید شده می‌تواند منجر به افزایش آسیب پذیری شود. این مشکل در قسمتی از نرم افزار وجود دارد که تمام یا بخشی از یک قطعه کد را با استفاده از ورودی خارجی از یک جزء بالادستی می سازد، اما عناصر خاصی را که می توانند نحوه یا رفتار بخش کد مورد نظر را تغییر دهند را خنثی سازی نمیکند یا به اشتباه خنثی سازی را انجام میدهد. این آسیب پذیری نسخه‌های 8.2.8 ، 8.1.11 ، 9.0.1 را تحت تاثیر خود قرار می دهد. برای جلوگیری از حمله احتمالی پیشنهاد میگردد تا نسخه‌های 8.1.12 , 8.2.9 , 9.0.2 و بالاتر بروزرسانی انجام شود.

CVE-2022-43569: این آسیب پذیری می‌تواند منجر به تحت تاثیر قرار گرفتن برخی از عملکردهای ناشناخته مؤلفه Data Model Handler شود و دستکاری از طریق ورودی ناشناس میتواند منجر به آسیب برنامه نویسی متقابل سایت شود. به این طریق که این نرم افزار قبل از خروجی دادن یک صفحه وب که برای سایر کاربران استفاده می شود، ورودی های قابل کنترل توسط کاربر را خنثی سازی نمی کند یا خنثی سازی را اشتباه انجام می‌دهد. این مشکل یکپارچگی سایت را تحت تاثیر قرار می‌دهد و از طریق آن یک مهاجم ممکن است بتواند کد html و اسکریپت دلخواه را به وب سایت تزریق کند که این امر باعث تغییر ظاهر سایت می‌شود و امکان انجام حملات از راه دور بیشتری را علیه بازدیدکنندگان سایت مهیا می‌سازد. در نسخه‌های پایین تر از 8.1.11 ، 8.2.8 ، 9.0.1 یک کاربر احراز هویت شده  اسکریپت‌های دلخواهش را تزریق و ذخیره کند همپنین می‌تواند منجر به اسکریپت‌نویسی متقابل سایت (XSS) در نام شی یک مدل داده شود. برای جلوگیری از حمله احتمالی پیشنهاد میگردد تا نسخه‌های 8.1.12 , 8.2.9 , 9.0.2 یا بالاتر بروزرسانی انجام شود.

CVE-2022-43570: این آسیب پذیری می‌تواند منجر به تحت تاثیر قرار گرفتن برخی از عملکردهای ناشناخته مؤلفه XML Handler شود و دستکاری از طریق ورودی ناشناس می‌تواند منجر به آسیب پذیری موجودیت خارجی xml شود. این آسیب پذیری می‌تواند منجر به تحت تاثیر قرار گرفتن برخی از عملکردهای ناشناخته مؤلفه XML Handler شود. همچنین دستکاری از طریق ورودی ناشناس می‌تواند منجر به آسیب پذیری موجودیت خارجی xml شود. به این طریق که نرم‌ افزار یک سند XML را پردازش می‌کند که می‌تواند حاوی موجودیت‌های XML با URIها باشد و با انتقال اسناد به خارج از حوزه کنترل مورد نظر و جای گیری اسناد نادرست در خروجی، موجب این امر شود. این آسیب پذیری باعث به خطر افتادن اطلاعات از نظر محرمانه بودن، یکپارچگی و دسترسی خواهد شد. در نسخه‌های پایین تر از 8.1.11 ، 8.2.8 ، 9.0.1 یک کاربر احراز هویت شده می‌تواند کد‌های XML را از طریق موجودیت خارجی (XXE) اجرا کند. تزریق XXE باعث می شود که Splunk Web اسناد نادرست را در یک خطا جاسازی کند و برای جلوگیری از حمله احتمالی پیشنهاد میگردد تا نسخه‌های 8.1.12 , 8.2.9 , 9.0.2 یا بالاتر بروزرسانی انجام شود.

مراجع

https://nvd.nist.gov/vuln/detail/CVE-2022-43571

https://research.splunk.com/application/b06b41d7-9570-4985-8137-0784f582a1b3/

https://nvd.nist.gov/vuln/detail/CVE-2022-43569

https://www.splunk.com/en_us/product-security/announcements/svd-2022-1109.html

https://nvd.nist.gov/vuln/detail/CVE-2022-43570#

https://www.splunk.com/en_us/product-security/announcements/svd-2022-1110.html